Cenário simples de correlação para Splunk usando tabelas de consulta

SIEM & EDR

Julho 25, 2017

2 min de leitura

Cenário simples de correlação para Splunk usando tabelas de consulta

Alex Verbniak
Alex Verbniak Engenheiro de Segurança Sênior linkedin icon Seguir

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Inscreva-se no Resumo Semanal

Exclusivo para usuários SOC Prime

Newsletter Icon

A correlação de eventos desempenha um papel importante na detecção de incidentes e nos permite focar nos eventos que realmente importam para os serviços de negócios ou processos de TI/segurança.O software Splunk suporta várias maneiras de correlacionar eventos, tais como:
• correlações de eventos usando tempo e localização geográfica;
• transações;
• subpesquisas;
• buscas de campo;
• junções.
Neste artigo, consideraremos o uso de correlação de eventos baseada em buscas de campo e junções. Na minha opinião, esta é uma das maneiras mais leves de correlacionar eventos, ao contrário do uso de subpesquisas ou junções em uma mesma consulta de busca. Na maioria dos casos, precisamos comparar um campo de um evento com o campo correspondente de outro evento para procurar correspondências. Por exemplo, tentamos detectar atividades suspeitas em nossa rede e descobrir quem realiza a varredura para o TCP 445 em nossa rede e tenta se conectar a servidores C&C.
Vamos começar com uma busca, que nos ajudará a detectar a varredura para o TCP 445 em nossa rede.
Encontre todos os eventos com conexões na porta 445:O critério para detectar a varredura é: um host varre 30 hosts em 1 minuto, assim usando bucket e eventstats não é difícil agrupar eventos e encontrar contagem maior que 30:Como resultado, detectamos que o host 10.10.10.3 realizou a varredura para 763 hosts por 1 minuto em nossa rede:O host deve ser adicionado à lista de hosts suspeitos. Para fazer isso, precisamos executar uma busca e colocar os resultados em uma tabela de busca:Resultado:Esta busca cria automaticamente o lookup suspicious_hosts.csv com os campos src_ip, HostsScanned,_time.
Agora precisamos descobrir quem em nossa rede tentou se conectar ao Ransomware C&C:Nota. Os endereços IP usados no artigo não são necessariamente Ransomware C&C na época em que o artigo foi escrito.
Consolidação dos resultados de ambas as buscas em uma:Resultado:Usamos um cenário de correlação para detectar um host infectado em nossa rede. Para automação completa, você pode colocar essas solicitações em Alertas. Usar lookup aumenta significativamente a eficiência, pois é muito mais fácil comparar eventos com uma tabela estática do que fazer subpesquisas repetidamente.

Obrigado pela sua atenção,
Alex Verbniak

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Cadastre-se Gratuitamente Agendar uma Reunião

More SIEM & EDR Articles

Superando a Complexidade do Esquema de Dados para o Seu SIEM & XDR com o Módulo de Gerenciamento Contínuo de Conteúdo da SOC Prime 9 min de leitura SIEM & EDR Superando a Complexidade do Esquema de Dados para o Seu SIEM & XDR com o Módulo de Gerenciamento Contínuo de Conteúdo da SOC Prime by Eugene Tkachenko Ative a Gestão Contínua de Conteúdo com a Plataforma SOC Prime 7 min de leitura SIEM & EDR Ative a Gestão Contínua de Conteúdo com a Plataforma SOC Prime by Veronika Zahorulko Guia Definitivo do Azure Sentinel: Explorando a Plataforma em Nuvem da Microsoft 9 min de leitura SIEM & EDR Guia Definitivo do Azure Sentinel: Explorando a Plataforma em Nuvem da Microsoft by Sergiy Prystaiko