Creazione di Eventi di Correlazione in Splunk utilizzando gli Avvisi

Molti utenti SIEM pongono una domanda: in cosa differiscono gli strumenti SIEM di Splunk e HPE ArcSight?
Gli utenti di ArcSight sono convinti che gli eventi di correlazione in ArcSight siano un argomento ponderato a favore dell’utilizzo di questo SIEM perché Splunk non ha gli stessi eventi. Distruggiamo questo mito.
Splunk ha molte opzioni per correlare eventi. Quindi in questo articolo, considereremo un metodo di correlazione simile agli Eventi di Correlazione di ArcSight.
Per prima cosa, descriverò brevemente il principio di funzionamento; quindi studieremo un esempio specifico basato sugli eventi.

Gli eventi che portano all’attivazione di una regola sono chiamati eventi correlati. A loro volta, l’evento risultante con informazioni generali sul trigger è chiamato evento di correlazione. Pertanto, gli eventi correlati vengono utilizzati per creare eventi di correlazione. Successivamente, gli eventi di correlazione possono essere anche correlati con altri eventi per costruire logiche più complesse.

Bene, proviamo a generare eventi di correlazione in Splunk. Creare un indice separato per gli eventi di correlazione, ad esempio ‘apt-framework’:Crea una query di ricerca che periodicamente cerchi gli host che eseguono scansioni delle porte sulla rete:index=* ( tag::eventtype=”communicate” OR tag::eventtype=”network”) | bucket _time span=60 | eventstats dc(dest_port) AS PortsScanned by src_ip, _time | where PortsScanned> 50 | dedup src_ip, PortsScanned | eval rule=”Internal Port Scan” | eval stage=”Stage 7 – Reconnaissance” | table src_ip, PortsScanned, _time, stage, rule, source, sourcetype

Tabella dei risultati:Quindi crea un Avviso con Ricerca Salvata che cerchi ogni 10 minuti negli ultimi 10 minuti gli host che eseguono la scansione delle porte:
Ok, ora devi specificare i parametri per la creazione degli eventi di correlazione. Per fare ciò, aggiungi azione e scegli Log Event:Devi specificare tutti i campi che vuoi vedere in un evento di correlazione dal risultato della ricerca.
Nel nostro caso:$result._time$, Source=$result.source$, Sourcetype=$result.sourcetype$, src_ip=$result.src_ip$, PortsScanned=$result.PortsScanned$, stage=”$result.stage$”, rule=”$result.rule$”Di conseguenza, ogni 10 minuti per gli ultimi 10 minuti, la Ricerca Salvata rileva gli host che eseguono la scansione delle porte, e Splunk genera e salva eventi di correlazione nell’indice ‘apt-framework’:È possibile utilizzare facilmente questi eventi nelle richieste successive. L’uso di un indice separato e degli eventi di correlazione ridurrà considerevolmente il carico sul motore di ricerca di Splunk. Buona esplorazione con Splunk!