はじめに
- ゼロからSIEMの検知ルール(相関サーチ)を考えるのは大変!!
- 現在SIEMで収集している、もしくはこれから収集する予定のログソースを使って、どのような検知ルール(相関サーチ)を使えるのか知りたい
- 本記事ではSplunkセキュリティコンテンツ「Splunk ES Content Update(ESCU)」と、検知ルール(相関サーチ)を探すために使うApp「Splunk Security Essentials(SSE)」について紹介します
Splunkセキュリティコンテンツ 「Enterprise Security Content Update(ESCU)」
Splunkではサイバー攻撃の検出・調査で使用する相関サーチ集を「Splunk ES Content Update(ESCU)」として提供している
- 最新のサイバー攻撃の状況に合わせ、定期的な更新がSplunkにより行われる。頻度は月に2回程度
- 相関サーチごとに定義されている攻撃の戦術・手法のマッピング情報が利用できる。特にMITRE ATT&CK Matrixとの対応は重要
- Splunkbaseから無償でダウンロード可能
- Splunk Enterprise Security・Splunk Security EssentialsのApp、Splunk Security Contentサイトでコンテンツを確認できる
- Splunk Security Contentのトップページの「Detections」「Analytic Stories」が該当:リンク
- 以下は 「Enterprise Security Content Update(ESCU)」のトップ画面。Analytic StoriesやDetections合計数の表示があるが、このApp単体でログソースに合った相関サーチを探す画面は用意されていない
「Enterprise Security Content Update(ESCU)」のApp導入は、あくまでSplunk環境にセキュリティコンテンツのライブラリをダウンロードしたということ。
このライブラリを活用するためには、「Splunk Security Essentials(SSE)」や「Splunk Enterprise Security」のAppが必要。
最新の相関サーチを使っていくためには「Enterprise Security Content Update(ESCU)」の定期的なAppの更新が必要です。
Splunk Enterpriseの「Appの管理」メニューからAppの更新ができます
「Splunk Security Essentials(SSE)」で相関サーチを探す
Splunkはユースケース・コンテンツ管理のためのAppとして、「Splunk Security Essentials(SSE)」を提供している
- 「ES Contents Update(ESCU)」含め、その他のコンテンツも包含しており、相関サーチを探す上で使える
- Splunkbaseから無償でダウンロード可能。「Splunk Security Essentials(SSE)」のワークショップはSplunk Japan主催で不定期に開催されている
相関サーチの探し方
「Splunk Security Essentials(SSE)」のAppを選択して、ホーム画面を開く
「Security Content」画面を使って相関サーチを探す
AWS関連のログソースで使える相関サーチをフィルタを使って抽出!!
1. メニューの「コンテンツ」をクリックして、「Security Content」を選択
2. 「Security Content」画面上のJourneyフィルタをクリックして、表示されるStege-1から6を全てクリックして、利用できるSecurity Contentを全て表示
「Splunk Security Essentials(SSE)」のバージョン 3.8.0で、Level1から4までのSecurity Data Journeyに変更となった。利用できるSecurity Contentを全て表示する場合、Level1-4全てチェックが入っていることを確認。
3. Filtersの下にある「Edit」をクリックして、利用できるフィルタを追加して保存
※「Data Sources」は既に表示されていたため、「Data Source Category」、「データモデル」のフィルタを追加。また、相関サーチのコンテンツだけ表示するために 「Originating App」フィルタを追加
4. 「Originating App」のフィルタで、SIEMの相関サーチに関連しないコンテンツを除外
※「Splunk SOAR」と「Splunk User Behavior Analytics」に該当するコンテンツは表示しない
5. 「Data Sources」、「Data Source Category」、「データモデル」のフィルタで、特定のデータソースの種別を選択して利用できる相関サーチを抽出
※動画では 「Data Sources」、「Data Source Category」、「データモデル」のそれぞれのフィルタをクリックして表示した後に、「Data Sources」の「AWS」をクリックして、AWS関連の相関サーチを抽出した
今回、ログソース関連のフィルタ 「Data Sources」、「Data Source Category」、「データモデル」を表示していますが、それ以外にMITRE ATT&CKのTactic, Technique, Threat Groupsなどのフィルタを使って相関サーチを抽出することができる
まとめ
- Splunkセキュリティコンテンツは「Splunk ES Content Update(ESCU)」を指す。このApp単体で相関サーチを探すことはできない。他の「Splunk Security Essentials(SSE)」や「Splunk Enterprise Security」のAppで探す。
- 「Splunk Security Essentials(SSE)」の「Security Content」画面で、さまざまなフィルタを使うことで要件に応じた相関サーチを抽出することができる
今日もHappy Splunking!!