Acelerando a Detecção do Splunk com o Resumo Completo do Uncoder AI

1. Filtragem de Índice e Fonte: A consulta começa especificando index=* o que significa que pesquisa em todos os índices disponíveis no ambiente Splunk. Depois, restringe os resultados para incluir apenas logs de fontes nomeadas “WinEventLog:*”, indicando que o foco está nos Logs de Eventos do Windows.
2. Condições ScriptBlockText: O corpo principal da consulta usa um operador AND com uma série de condições OR, todas relacionadas ao ScriptBlockText. Isso implica que a busca está procurando blocos de script PowerShell (trechos de código) dentro desses logs de eventos que correspondam a certos critérios. Especificamente, está procurando por quaisquer menções a propriedades ou filtros relacionados à delegação Kerberos.
• TrustedForDelegation: Esta condição busca por instâncias onde uma conta de usuário ou computador foi configurada como confiável para delegação. Em um ambiente Kerberos, essa configuração permite que a conta personifique usuários e acesse serviços em nome deles.
• TrustedToAuthForDelegation: Similar à condição anterior, mas especificamente relacionada a cenários de delegação restrita onde uma conta é confiável para autenticação com fins de delegação.
• msDS-AllowedToDelegateTo: Este atributo especifica os serviços para os quais um usuário ou computador pode apresentar credenciais delegadas. A consulta procura por modificações ou menções desse atributo em blocos de script, indicando possíveis alterações de configuração que possam afetar os caminhos de delegação.
• PrincipalsAllowedToDelegateToAccount: Esta condição mira configurações onde específicas entidades (usuários, computadores, etc.) são explicitamente permitidas a delegar suas credenciais para uma conta específica, que é outro aspecto da delegação restrita.
• LDAPFilter com userAccountControl: A condição final busca por filtros LDAP usados em blocos de script que especificamente visam contas com o atributo userAccountControl configurado para 524288, que corresponde ao flag “TRUSTED_FOR_DELEGATION”. Este flag indica que uma conta é confiável para delegação, e modificar ou procurar por isso pode ser parte da gestão ou exploração das configurações de delegação Kerberos.

Em resumo, esta consulta Splunk visa detectar potenciais atividades relacionadas à segurança ou configurações erradas dentro de ambientes Windows relacionadas à delegação Kerberos. Procura indicadores em blocos de script PowerShell capturados nos Logs de Eventos do Windows que podem sugerir mudanças nas configurações de delegação confiável, que podem ser usados por atacantes para se mover lateralmente dentro de uma rede ou por administradores para gerenciar e auditar as configurações de delegação de seu ambiente.