ルックアップテーブルを使用したSplunkの簡単な相関シナリオ

イベント相関はインシデント検出において重要な役割を果たし、ビジネスサービスやIT/セキュリティプロセスにとって本当に重要なイベントに集中することを可能にします。Splunkソフトウェアは以下のように多くの方法でイベントを相関させることができます:
• 時間と地理的位置を使用したイベント相関;
• トランザクション;
• サブ検索;
• フィールド検索;
• 結合。
この記事では、フィールド検索および結合に基づくイベント相関の使用について考えます。私の意見では、これはサブ検索や一つの検索クエリでの結合使用とは異なり、軽量な方法の一つです。多くの場合、あるイベントのフィールドを他のイベントの適切なフィールドと比較して一致を検索する必要があります。例えば、ネットワーク内の疑わしい活動を検出し、ネットワーク内でTCP 445をスキャンし、C&Cサーバーへの接続を試みる者を知ろうとします。
ネットワーク内のTCP 445スキャンを検出する手助けをする検索から開始しましょう。
445ポートへの接続を含むすべてのイベントを見つける：スキャンを検出する基準は、1分間に1つのホストが30個のホストをスキャンすることです。したがって、bucketとeventstatsを使用すると、イベントをグループ化して30以上のカウントを見つけるのは難しくありません：結果として、ネットワーク内でホスト10.10.10.3が1分間に763ホストをスキャンしていることを検出しました：ホストは疑わしいホストリストに追加されるべきです。これを行うには、検索を実行して結果をルックアップテーブルに配置する必要があります：結果：この検索は自動的にsrc_ip, HostsScanned, _timeフィールドを含むlookup suspicious_hosts.csvを作成します。
これで、ネットワーク内でランサムウェアC&Cに接続しようとした者を見つける必要があります：注意。記事で使用されたIPアドレスは、記事執筆時に必ずしもランサムウェアC&Cではありません。
両方の検索からの結果を一つに統合します：結果：我々はネットワーク内の感染したホストを検出するための相関シナリオを使用しました。完全自動化のためには、これらのリクエストをアラートに入れることができます。ルックアップを使用することで効率が大幅に向上します。なぜなら、再びサブ検索を行うよりも静的なテーブルとの比較がはるかに簡単だからです。

ご覧いただき、ありがとうございました。
アレックス・ヴァーニャック