Uncoder AI의 전체 요약으로 Splunk 감지 속도 높이기

1. 인덱스 및 소스 필터링: 쿼리는 index=*로 시작하여 Splunk 환경의 모든 사용 가능한 인덱스를 검색하고 결과를 “WinEventLog:*”라는 소스에서 온 로그로만 좁힙니다. 이는 포커스가 Windows 이벤트 로그에 있음을 나타냅니다.
2. ScriptBlockText 조건: 쿼리의 주요 본문은 일련의 OR 조건과 함께 AND 연산자를 사용하여, 이는 이벤트 로그 내에서 특정 기준과 일치하는 PowerShell 스크립트 블록(코드 스니펫)을 찾고 있음을 의미합니다. 특히, Kerberos 위임과 관련된 속성이나 필터에 대한 언급을 검색합니다.
• TrustedForDelegation: 이 조건은 사용자 또는 컴퓨터 계정이 위임에 대해 신뢰할 수 있도록 구성된 경우를 검색합니다. Kerberos 환경에서 이 설정은 계정이 사용자를 대리하여 서비스를 액세스할 수 있도록 허용합니다.
• TrustedToAuthForDelegation: 이전 조건과 유사하지만, 위임 인증을 위해 신뢰받는 지정된 위임 시나리오와 관련이 있습니다.
• msDS-AllowedToDelegateTo: 이 속성은 사용자가 컴퓨터가 위임된 자격 증명을 제공할 수 있는 서비스를 지정합니다. 쿼리는 이 속성의 수정이나 언급을 스크립트 블록에서 찾으려 하며, 이는 위임 경로에 영향을 줄 수 있는 구성 변화를 나타낼 수 있습니다.
• PrincipalsAllowedToDelegateToAccount: 이 조건은 특정 주체(사용자, 컴퓨터 등)가 특정 계정에 자격 증명을 위임할 수 있도록 명시적으로 허용된 구성을 대상으로 합니다. 이는 제약된 위임의 또 다른 측면입니다.
• userAccountControl이 설정된 계정을 명시적으로 목표로 하는 스크립트 블록에 사용된 LDAP 필터를 검색하는 것입니다. 이 플래그는 계정이 위임에 대해 신뢰할 수 있음을 나타내며, 관리하거나 Kerberos 위임 설정을 악용하기 위해 이를 수정하거나 검색할 수 있습니다.

요약하자면, 이 Splunk 쿼리는 Windows 환경 내에서 Kerberos 위임과 관련된 잠재적인 보안 관련 활동이나 구성 오류를 감지하는 것을 목표로 합니다. 이는 공격자가 네트워크 내에서 횡적으로 이동하거나 관리자가 환경의 위임 구성을 관리하고 감사하기 위해 사용할 수 있는 신뢰할 수 있는 위임 설정의 변경을 시사할 수 있는 Windows 이벤트 로그에 캡처된 PowerShell 스크립트 블록에서 표시기를 찾습니다.