Integrazione semplice di Virus Total con dashboard di Splunk

L’integrazione semplice aiuta a cercare processi malevoli

Saluti a tutti! Continuiamo a trasformare Splunk in uno strumento polivalente che può rilevare rapidamente qualsiasi minaccia. Il mio ultimo articolo ha descritto come creare eventi di correlazione usando gli Avvisi. Ora ti dirò come effettuare una semplice integrazione con la base di Virus Total.

Molti di noi usano Sysmon nell’ambiente per monitorare le connessioni di rete, le creazioni di processi e qualsiasi cambiamento nei tempi di creazione dei file. Questo driver di sistema fornisce il monitoraggio e la registrazione delle attività di sistema nel registro eventi. Una delle funzionalità più richieste di Sysmon è il calcolo e la registrazione degli hash dei processi in esecuzione. Pertanto, possiamo utilizzare questi dati, Splunk e la base di Virus Total per rilevare processi malevoli che potrebbero essersi avviati nel tuo ambiente.

Quindi iniziamo

1. Raccogliere i log di Sysmon su Splunk.

Per impostare la raccolta dei log di Sysmon dai sistemi Windows, dobbiamo installare il componente aggiuntivo per Microsoft Sysmon su Splunk. Puoi trovare la descrizione di questo processo su https://splunkbase.splunk.com/app/1914/.

2. A questo punto abbiamo già installato il componente aggiuntivo per Microsoft Sysmon e i log si stanno raccogliendo nel nostro Splunk:

3. Ora dobbiamo effettuare la ricerca e creare una tabella con i processi che girano sul nostro server di prova.

Evento Sysmon con ID 1:

index=* source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” EventCode=1

Costruzione della tabella delle statistiche:

index=* source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” EventCode=1 | stats count by Computer Hashes Image

4. Quindi salviamo questa ricerca come pannello di dashboard:

5. Ora per il pannello salvato, dobbiamo creare un drilldown sulla pagina di VirusTotal per controllare l’hash dalla tabella. Per fare ciò, apriamo il pannello di modifica della sorgente, aggiungiamo l’opzione di drilldown e il tag:

<option name=”drilldown”>cell</option>

<drilldown target=”My New Window”>

<eval token=”hash”>$row.Hashes$</eval>

<link>https://www.virustotal.com/latest-scan/$hash$</link>

</drilldown>

6. Dopo aver salvato il dashboard, saremo in grado di cliccare sulla cella Hashes per controllare l’hash sulla pagina di Virus Total con questo drilldown:

In questo articolo, ho mostrato un modo semplice per effettuare l’integrazione usando il drilldown. Puoi sfruttare questo metodo per integrare molti controlli diversi e convenienti su risorse web esterne. Con un solo clic, otterrai le informazioni di cui hai bisogno. Puoi anche utilizzare Sysmon Framework di SOC Prime per il rilevamento e un’analisi più approfondita delle attività malevole. Il mio prossimo articolo riguarderà l’utilizzo dei pannelli dipendenti, lo strumento che aiuta a rendere i dashboard più informativi.