アラートを使用してSplunkで相関イベントを作成する

多くのSIEMユーザーが疑問に思うのは、SplunkとHPE ArcSight SIEMツールがどのように異なるのかということです。
ArcSightユーザーは、ArcSightの相関イベントがあるため、このSIEMを使用する重要な理由があると自信を持っていますが、Splunkには同じイベントがありません。この神話を打破しましょう。
Splunkにはイベントを相関させる多くのオプションがあります。それで、この記事では、ArcSightの相関イベントに似た相関方法を検討します。
まず、作業の原則を簡単に説明し、次にイベントに基づく具体的な例を研究します。

ルールのトリガーを引き起こすイベントは相関イベントと呼ばれます。引き続いて発生するトリガーに関する一般情報を伴うイベントは、相関イベントと呼ばれます。したがって、相関イベントは他のイベントに対する相関イベントを作成するために使用されます。その後、相関イベントは他のイベントとも相関させて、より複雑なロジックを構築することもできます。

さて、Splunkで相関イベントを生成してみましょう。相関イベント用に別のインデックスを作成します。例：‘apt-framework’:ネットワーク上でポートスキャンを実行するホストを定期的に検索するクエリを作成します:index=* ( tag::eventtype=”communicate” OR tag::eventtype=”network”) | bucket _time span=60 | eventstats dc(dest_port) AS PortsScanned by src_ip, _time | where PortsScanned> 50 | dedup src_ip, PortsScanned | eval rule=”Internal Port Scan” | eval stage=”Stage 7 – Reconnaissance” | table src_ip, PortsScanned, _time, stage, rule, source, sourcetype

結果の表:次に、保存された検索を使用してアラートを作成し、ポートスキャンを行うホストを10分ごとに過去10分間検索します:
さて、相関イベントの作成のためのパラメータを指定する必要があります。そのために、アクションを追加し、ログイベントを選択します:検索結果から相関イベントに表示したいすべてのフィールドを指定する必要があります。
私たちの場合:$result._time$, Source=$result.source$, Sourcetype=$result.sourcetype$, src_ip=$result.src_ip$, PortsScanned=$result.PortsScanned$, stage=”$result.stage$”, rule=”$result.rule$”結果として、保存された検索は10分ごとに過去10分間でポートスキャンを行うホストを検出し、Splunkは ‘apt-framework’ インデックスに相関イベントを生成し保存します:これらのイベントはさらにリクエストで簡単に使用できます。別のインデックスと相関イベントの使用は、Splunk検索エンジンへの負荷を大幅に削減します。Splunkをお楽しみください！