Intégration simple de Virus Total avec les tableaux de bord Splunk

Une intégration simple aide à rechercher des processus malveillants

Salutations à tous ! Continuons à transformer Splunk en un outil polyvalent qui peut détecter rapidement toute menace. Mon dernier article décrivait comment créer des événements de corrélation à l’aide des Alertes. Maintenant, je vais vous expliquer comment faire une intégration simple avec la base Virus Total.

Beaucoup d’entre nous utilisent Sysmon dans l’environnement pour surveiller les connexions réseau, les créations de processus et toute modification du temps de création de fichiers. Ce pilote système fournit un suivi et un enregistrement de l’activité système dans le journal des événements. L’une des fonctionnalités les plus demandées de Sysmon est le calcul et l’enregistrement des hachages des processus en cours d’exécution. Ainsi, nous pouvons utiliser ces données, Splunk et la base Virus Total pour détecter les processus malveillants qui pourraient potentiellement s’exécuter dans votre environnement.

Alors commençons

1. Collectez les journaux Sysmon dans Splunk.

Pour configurer la collecte des journaux Sysmon à partir de systèmes Windows, nous devons installer l’Add-on pour Microsoft Sysmon sur Splunk. Vous pouvez trouver la description de ce processus sur https://splunkbase.splunk.com/app/1914/.

2. À ce stade, nous avons déjà installé l’Add-on pour Microsoft Sysmon et les journaux sont collectés dans notre Splunk :

3. Nous devons maintenant effectuer une recherche et créer un tableau avec les processus qui s’exécutent sur notre serveur de test.

Événement Sysmon avec ID 1 :

index=* source= »WinEventLog:Microsoft-Windows-Sysmon/Operational » EventCode=1

Création du tableau de statistiques :

index=* source= »WinEventLog:Microsoft-Windows-Sysmon/Operational » EventCode=1 | stats count by Computer Hashes Image

4. Ensuite, nous sauvegardons cette recherche comme panneau de tableau de bord :

5. Désormais, pour le panneau enregistré, nous devons créer une analyse détaillée sur la page VirusTotal pour vérifier le hachage à partir du tableau. Pour cela, nous ouvrons le panneau Edit Source, ajoutons l’option d’analyse détaillée et tag :

<option name= »drilldown »>cell</option>

<drilldown target= »My New Window »>

<eval token= »hash »>$row.Hashes$</eval>

<link>https://www.virustotal.com/latest-scan/$hash$</link>

</drilldown>

6. Après avoir enregistré le tableau de bord, nous pourrons cliquer sur la cellule Hashes pour vérifier le hachage sur la page Virus Total avec cette analyse détaillée :

Dans cet article, j’ai montré une façon simple de faire une intégration à l’aide de l’analyse détaillée. Vous pouvez utiliser cette méthode pour intégrer de nombreuses vérifications différentes et pratiques sur des ressources web externes. D’un simple clic, vous obtiendrez l’information dont vous avez besoin. Vous pouvez également utiliser Sysmon Framework de SOC Prime pour la détection et une analyse plus approfondie des activités malveillantes. Mon prochain article portera sur l’utilisation des panneaux dépendants, l’outil qui aide à rendre les tableaux de bord plus informatifs.