Splunk에서 알림을 사용하여 상관 관계 이벤트 생성하기

많은 SIEM 사용자들은 다음과 같은 질문을 합니다: Splunk과 HPE ArcSight SIEM 도구는 어떻게 다른가요?
ArcSight 사용자는 ArcSight의 상관 이벤트가 이 SIEM을 사용하는데 있어 중요한 이유라는 점에 자신감을 가지고 있습니다. 왜냐하면 Splunk에는 같은 이벤트가 없기 때문입니다. 이 신화를 파괴해 봅시다.
Splunk에는 이벤트를 상관시킬 수 있는 많은 옵션이 있습니다. 그래서 이 기사에서는 ArcSight 상관 이벤트와 유사한 이벤트 상관 방법을 고려해 보겠습니다.
먼저, 작동 원칙을 간단히 설명한 후, 이벤트를 기반으로 한 특정 예제를 공부해 보겠습니다.

규칙이 작동하게 하는 이벤트를 상관 이벤트라고 합니다. 반면, 트리거에 대한 일반 정보를 포함한 결과 이벤트를 상관 이벤트라고 합니다. 따라서, 상관 이벤트는 상관 이벤트를 생성하기 위해 사용됩니다. 나아가 복잡한 논리를 구축하기 위해 다른 이벤트와도 상관될 수 있습니다.

그럼, Splunk에서 상관 이벤트를 생성해 봅시다. ‘apt-framework’라는 별도의 색인을 상관 이벤트를 위해 만드세요:네트워크에서 포트 스캔을 수행하는 호스트를 주기적으로 찾는 검색 쿼리를 생성하세요:index=* ( tag::eventtype=”communicate” OR tag::eventtype=”network”) | bucket _time span=60 | eventstats dc(dest_port) AS PortsScanned by src_ip, _time | where PortsScanned> 50 | dedup src_ip, PortsScanned | eval rule=”내부 포트 스캔” | eval stage=”단계 7 – 정찰” | table src_ip, PortsScanned, _time, stage, rule, source, sourcetype

결과의 테이블:그런 다음 마지막 10분 동안 포트 스캔을 수행하는 호스트를 10분마다 검색할 저장된 검색과 경고를 생성하세요:
이제 상관 이벤트 생성을 위한 매개변수를 지정해야 합니다. 이를 위해, 동작을 추가하고 로그 이벤트를 선택하세요:검색 결과에서 상관 이벤트에 보고 싶어하는 모든 필드를 지정해야 합니다.
우리의 경우:$result._time$, Source=$result.source$, Sourcetype=$result.sourcetype$, src_ip=$result.src_ip$, PortsScanned=$result.PortsScanned$, stage=”$result.stage$”, rule=”$result.rule$”결과적으로, 마지막 10분 동안 10분마다 저장된 검색이 포트 스캔을 수행하는 호스트를 탐지하고, Splunk는 상관 이벤트를 ‘apt-framework’ 색인에 생성하고 저장합니다:이 이벤트들은 후속 요청에서 쉽게 사용할 수 있습니다. 별도의 색인 및 상관 이벤트 사용은 Splunk 검색 엔진에 대한 부하를 상당히 줄일 것입니다. Splunk 사용을 즐기세요!