Criando Eventos de Correlação no Splunk Usando Alertas

Muitos usuários de SIEM fazem uma pergunta: Como os serviços do Splunk e do HPE ArcSight SIEM diferem?
Os usuários do ArcSight estão confiantes de que os eventos de correlação no ArcSight são um argumento de peso em favor do uso deste SIEM porque o Splunk não possui os mesmos eventos. Vamos destruir esse mito.
O Splunk possui muitas opções para correlacionar eventos. Portanto, neste artigo, consideraremos um método de correlação semelhante aos Eventos de Correlação do ArcSight.
Primeiro, descreverei brevemente o princípio de funcionamento; em seguida, estudaremos um exemplo específico baseado em eventos.

Eventos que levam ao acionamento de uma regra são chamados de eventos correlacionados. Por sua vez, o evento resultante com informações gerais sobre o acionamento é chamado de evento de correlação. Assim, eventos correlacionados são usados para criar eventos de correlação. Subsequentemente, eventos de correlação também podem ser correlacionados com outros eventos para construir uma lógica mais complexa.

Bem, vamos tentar gerar eventos de correlação no Splunk. Crie um índice separado para eventos de correlação, por exemplo, ‘apt-framework’:Crie uma consulta de busca que procure periodicamente por hosts que realizam varredura de portas na rede:index=* ( tag::eventtype=”communicate” OR tag::eventtype=”network”) | bucket _time span=60 | eventstats dc(dest_port) AS PortsScanned by src_ip, _time | where PortsScanned> 50 | dedup src_ip, PortsScanned | eval rule=”Internal Port Scan” | eval stage=”Stage 7 – Reconnaissance” | table src_ip, PortsScanned, _time, stage, rule, source, sourcetype

Tabela de resultados:Em seguida, crie um Alerta com Busca Salva que irá pesquisar a cada 10 minutos nos últimos 10 minutos por hosts que realizam varredura de portas:
Ok, agora você precisa especificar os parâmetros para a criação de eventos de correlação. Para fazer isso, adicione a ação e escolha Registrar Evento:Você precisa especificar todos os campos que deseja ver em um evento de correlação a partir do resultado da pesquisa.
No nosso caso:$result._time$, Source=$result.source$, Sourcetype=$result.sourcetype$, src_ip=$result.src_ip$, PortsScanned=$result.PortsScanned$, stage=”$result.stage$”, rule=”$result.rule$”Como resultado, a cada 10 minutos nos últimos 10 minutos, a Busca Salva detecta hosts que realizam varredura de portas, e o Splunk gera e salva eventos de correlação no índice ‘apt-framework’:Você pode facilmente usar esses eventos em solicitações futuras. O uso de um índice separado e eventos de correlação reduzirá consideravelmente a carga no mecanismo de busca do Splunk. Feliz Splunking!