Scenario di correlazione semplice per Splunk utilizzando tabelle di lookup

[post-views]
Luglio 25, 2017 · 2 min di lettura
Scenario di correlazione semplice per Splunk utilizzando tabelle di lookup

La correlazione degli eventi svolge un ruolo importante nella rilevazione degli incidenti e ci consente di concentrarci sugli eventi che contano davvero per i servizi aziendali o i processi IT/sicurezza.Il software Splunk supporta molti modi per correlare gli eventi, come:
• correlazioni degli eventi utilizzando il tempo e la posizione geografica;
• transazioni;
• subsearch;
• field lookups;
• joins.
In questo articolo, considereremo l’uso della correlazione degli eventi basata su field lookups e joins. A mio parere, questo è uno dei modi più leggeri per correlare gli eventi, a differenza dell’uso di subsearch o joins in una query di ricerca. Nella maggior parte dei casi, dobbiamo confrontare un campo di un evento con il campo appropriato di un altro evento per cercare corrispondenze. Ad esempio, cerchiamo di rilevare attività sospette nella nostra rete e di scoprire chi esegue la scansione per TCP 445 nella nostra rete e tenta di connettersi ai server C&C.
Iniziamo con una ricerca, che ci aiuterà a rilevare la scansione per TCP 445 nella nostra rete.
Trova tutti gli eventi con connessioni alla porta 445:Il criterio per rilevare la scansione è: un host scansiona 30 host in 1 minuto, quindi utilizzando bucket ed eventstats non è difficile raggruppare eventi e trovare conteggi superiori a 30:Di conseguenza, rileviamo che l’host 10.10.10.3 ha effettuato scansioni per 763 host per 1 minuto nella nostra rete:L’host dovrebbe essere aggiunto all’elenco degli host sospetti. Per fare ciò, dobbiamo eseguire una ricerca e inserire i risultati in una tabella di lookup:Risultato:Questa ricerca crea automaticamente il lookup suspicious_hosts.csv con i campi src_ip, HostsScanned, _time.
Ora dobbiamo scoprire chi nella nostra rete ha tentato di connettersi a Ransomware C&C:Nota. Gli indirizzi IP utilizzati nell’articolo non sono necessariamente Ransomware C&C al momento della stesura dell’articolo.
Consolidamento dei risultati di entrambe le ricerche in una:Risultato:Abbiamo utilizzato lo scenario di correlazione per rilevare un host infetto nella nostra rete. Per una completa automazione, puoi inserire queste richieste negli Alerts. Utilizzare il lookup aumenta significativamente l’efficienza perché è molto più facile confrontare gli eventi con una tabella statica che eseguire ripetutamente subsearch.

Grazie per la vostra attenzione,
Alex Verbniak

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Creazione di Eventi di Correlazione in Splunk utilizzando gli Avvisi
Blog, SIEM & EDR — 3 min di lettura
Creazione di Eventi di Correlazione in Splunk utilizzando gli Avvisi
Alex Verbniak
Correlazione Storica
Blog, SIEM & EDR — 3 min di lettura
Correlazione Storica
Ruslan Mihalev