Cenário simples de correlação para Splunk usando tabelas de consulta

[post-views]
Julho 25, 2017 · 2 min de leitura
Cenário simples de correlação para Splunk usando tabelas de consulta

A correlação de eventos desempenha um papel importante na detecção de incidentes e nos permite focar nos eventos que realmente importam para os serviços de negócios ou processos de TI/segurança.O software Splunk suporta várias maneiras de correlacionar eventos, tais como:
• correlações de eventos usando tempo e localização geográfica;
• transações;
• subpesquisas;
• buscas de campo;
• junções.
Neste artigo, consideraremos o uso de correlação de eventos baseada em buscas de campo e junções. Na minha opinião, esta é uma das maneiras mais leves de correlacionar eventos, ao contrário do uso de subpesquisas ou junções em uma mesma consulta de busca. Na maioria dos casos, precisamos comparar um campo de um evento com o campo correspondente de outro evento para procurar correspondências. Por exemplo, tentamos detectar atividades suspeitas em nossa rede e descobrir quem realiza a varredura para o TCP 445 em nossa rede e tenta se conectar a servidores C&C.
Vamos começar com uma busca, que nos ajudará a detectar a varredura para o TCP 445 em nossa rede.
Encontre todos os eventos com conexões na porta 445:O critério para detectar a varredura é: um host varre 30 hosts em 1 minuto, assim usando bucket e eventstats não é difícil agrupar eventos e encontrar contagem maior que 30:Como resultado, detectamos que o host 10.10.10.3 realizou a varredura para 763 hosts por 1 minuto em nossa rede:O host deve ser adicionado à lista de hosts suspeitos. Para fazer isso, precisamos executar uma busca e colocar os resultados em uma tabela de busca:Resultado:Esta busca cria automaticamente o lookup suspicious_hosts.csv com os campos src_ip, HostsScanned,_time.
Agora precisamos descobrir quem em nossa rede tentou se conectar ao Ransomware C&C:Nota. Os endereços IP usados no artigo não são necessariamente Ransomware C&C na época em que o artigo foi escrito.
Consolidação dos resultados de ambas as buscas em uma:Resultado:Usamos um cenário de correlação para detectar um host infectado em nossa rede. Para automação completa, você pode colocar essas solicitações em Alertas. Usar lookup aumenta significativamente a eficiência, pois é muito mais fácil comparar eventos com uma tabela estática do que fazer subpesquisas repetidamente.

Obrigado pela sua atenção,
Alex Verbniak

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Criando Eventos de Correlação no Splunk Usando Alertas
Blog, SIEM & EDR — 3 min de leitura
Criando Eventos de Correlação no Splunk Usando Alertas
Alex Verbniak
Historical Correlation
Blog, SIEM & EDR — 3 min de leitura
Historical Correlation
Ruslan Mihalev