Scénario de corrélation simple pour Splunk utilisant des tables de recherche

La corrélation d’événements joue un rôle important dans la détection des incidents et nous permet de nous concentrer sur les événements qui importent vraiment pour les services métiers ou les processus IT/sécurité.Le logiciel Splunk prend en charge de nombreuses méthodes pour corréler les événements, telles que :
• corrélations d’événements utilisant le temps et la localisation géographique ;
• transactions ;
• sous-recherches ;
• recherches de champs ;
• jointures.
Dans cet article, nous allons envisager l’utilisation de la corrélation d’événements basée sur les recherches de champs et les jointures. À mon avis, c’est l’une des façons les plus légères de corréler les événements contrairement à l’utilisation de sous-recherches ou de jointures dans une seule requête de recherche. Dans la plupart des cas, nous devons comparer un champ d’un événement avec le champ approprié d’un autre événement pour rechercher des correspondances. Par exemple, nous essayons de détecter une activité suspecte dans notre réseau et de savoir qui effectue l’analyse du TCP 445 dans notre réseau et tente de se connecter aux serveurs de commande et contrôle (C&C).
Commençons par une recherche, qui nous aidera à détecter l’analyse du TCP 445 dans notre réseau.
Trouvez tous les événements avec des connexions au port 445 :Le critère pour détecter une analyse est qu’un hôte analyse 30 hôtes en 1 minute, donc en utilisant bucket et eventstats, il n’est pas difficile de regrouper les événements et de trouver un compte supérieur à 30 :En conséquence, nous détectons que l’hôte 10.10.10.3 a effectué une analyse pour 763 hôtes par minute dans notre réseau :L’hôte doit être ajouté à la liste des hôtes suspects. Pour ce faire, nous devons exécuter une recherche et mettre les résultats dans une table de recherche :Résultat :Cette recherche crée automatiquement la recherche suspicious_hosts.csv avec les champs src_ip, HostsScanned,_time.
Nous devons maintenant découvrir qui dans notre réseau a essayé de se connecter aux Commande et Contrôle de Ransomware :Note. Les adresses IP utilisées dans l’article ne sont pas nécessairement Ransomware C&C au moment de la rédaction de l’article.
Consolidation des résultats des deux recherches en une :Résultat :Nous avons utilisé un scénario de corrélation pour détecter un hôte infecté dans notre réseau. Pour une automatisation complète, vous pouvez mettre ces requêtes dans des Alertes. Utiliser une recherche augmente considérablement l’efficacité car il est beaucoup plus facile de comparer les événements avec une table statique que de faire des sous-recherches encore et encore.

Merci pour votre attention,
Alex Verbniak