Integração Simples do Virus Total com Dashboards do Splunk

A integração simples ajuda a buscar processos maliciosos

Saudações a todos! Vamos continuar transformando o Splunk em uma ferramenta multifuncional que pode detectar rapidamente qualquer ameaça. Meu último artigo descreveu como criar eventos de correlação usando Alertas. Agora vou te contar como fazer uma integração simples com a base do Virus Total.

Muitos de nós usamos Sysmon no ambiente para monitorar conexões de rede, criações de processos e quaisquer mudanças no horário de criação de arquivos. Este driver de sistema fornece monitoramento e registro de atividade do sistema no Log de Eventos. Um dos recursos mais requisitados do Sysmon é o cálculo e registro dos hashes dos processos em execução. Assim, podemos usar esses dados, Splunk e base do Virus Total para detectar processos maliciosos que possivelmente rodam no seu ambiente.

Então vamos começar

1. Coletar logs do Sysmon para o Splunk.

Para configurar a coleta de logs do Sysmon de sistemas Windows, precisamos instalar o Add-on para Microsoft Sysmon no Splunk. Você pode encontrar a descrição deste processo em https://splunkbase.splunk.com/app/1914/.

2. Neste ponto já instalamos o Add-on para Microsoft Sysmon e os logs estão sendo coletados no nosso Splunk:

3. Então agora precisamos fazer uma busca e criar uma tabela com processos que rodam no nosso servidor de teste.

Evento Sysmon com ID 1:

index=* source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” EventCode=1

Construção da tabela de estatísticas:

index=* source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” EventCode=1 | stats count by Computer Hashes Image

4. Depois salve esta busca como painel de dashboard:

5. Agora para o painel salvo, precisamos criar um drilldown na página do VirusTotal para verificar o hash da tabela. Para isso, abrimos o painel Edit Source, adicionamos a opção de drilldown e tag:

<option name=”drilldown”>cell</option>

<drilldown target=”My New Window”>

<eval token=”hash”>$row.Hashes$</eval>

<link>https://www.virustotal.com/latest-scan/$hash$</link>

</drilldown>

6. Após salvar o dashboard, poderemos clicar na célula Hashes para verificar o hash na página do Virus Total com este drilldown:

Neste artigo, mostrei uma maneira simples de fazer integração usando drilldown. Você pode utilizar este método para integrar uma variedade de verificações diferentes e convenientes em recursos web externos. Com um único clique, você terá a informação que precisa. Você também pode usar Sysmon Framework da SOC Prime para detecção e análise mais profunda de atividades maliciosas. Meu próximo artigo será sobre a utilização de painéis dependentes, a ferramenta que ajuda a tornar os dashboards mais informativos.