LoginSignup
1
0
Splunk Advent Calendar 2023Advent Calendar 2023Day 21
@hasec

SplunkセキュリティコンテンツのSIEM検知ルール(相関サーチ)の探し方!!

Last updated at Posted at 2023-12-29

はじめに

  • ゼロからSIEMの検知ルール(相関サーチ)を考えるのは大変!!
  • 現在SIEMで収集している、もしくはこれから収集する予定のログソースを使って、どのような検知ルール(相関サーチ)を使えるのか知りたい
  • 本記事ではSplunkセキュリティコンテンツ「Splunk ES Content Update(ESCU)」と、検知ルール(相関サーチ)を探すために使うApp「Splunk Security Essentials(SSE)」について紹介します

Splunkセキュリティコンテンツ 「Enterprise Security Content Update(ESCU)」

Splunkではサイバー攻撃の検出・調査で使用する相関サーチ集を「Splunk ES Content Update(ESCU)」として提供している

image.png

  • 最新のサイバー攻撃の状況に合わせ、定期的な更新がSplunkにより行われる。頻度は月に2回程度
  • 相関サーチごとに定義されている攻撃の戦術・手法のマッピング情報が利用できる。特にMITRE ATT&CK Matrixとの対応は重要
  • Splunkbaseから無償でダウンロード可能
    • Splunk Enterprise Security・Splunk Security EssentialsのApp、Splunk Security Contentサイトでコンテンツを確認できる
    • Splunk Security Contentのトップページの「Detections」「Analytic Stories」が該当:リンク

image.png

  • 以下は 「Enterprise Security Content Update(ESCU)」のトップ画面。Analytic StoriesやDetections合計数の表示があるが、このApp単体でログソースに合った相関サーチを探す画面は用意されていない

image.png

「Enterprise Security Content Update(ESCU)」のApp導入は、あくまでSplunk環境にセキュリティコンテンツのライブラリをダウンロードしたということ。
このライブラリを活用するためには、「Splunk Security Essentials(SSE)」や「Splunk Enterprise Security」のAppが必要。

最新の相関サーチを使っていくためには「Enterprise Security Content Update(ESCU)」の定期的なAppの更新が必要です。
Splunk Enterpriseの「Appの管理」メニューからAppの更新ができます

「Splunk Security Essentials(SSE)」で相関サーチを探す

Splunkはユースケース・コンテンツ管理のためのAppとして、「Splunk Security Essentials(SSE)」を提供している

image.png

  • 「ES Contents Update(ESCU)」含め、その他のコンテンツも包含しており、相関サーチを探す上で使える
  • Splunkbaseから無償でダウンロード可能。「Splunk Security Essentials(SSE)」のワークショップはSplunk Japan主催で不定期に開催されている

相関サーチの探し方

「Splunk Security Essentials(SSE)」のAppを選択して、ホーム画面を開く
image.png

「Security Content」画面を使って相関サーチを探す

AWS関連のログソースで使える相関サーチをフィルタを使って抽出!!

1. メニューの「コンテンツ」をクリックして、「Security Content」を選択

test1.gif

2. 「Security Content」画面上のJourneyフィルタをクリックして、表示されるStege-1から6を全てクリックして、利用できるSecurity Contentを全て表示

test2.gif

「Splunk Security Essentials(SSE)」のバージョン 3.8.0で、Level1から4までのSecurity Data Journeyに変更となった。利用できるSecurity Contentを全て表示する場合、Level1-4全てチェックが入っていることを確認。

3. Filtersの下にある「Edit」をクリックして、利用できるフィルタを追加して保存

※「Data Sources」は既に表示されていたため、「Data Source Category」、「データモデル」のフィルタを追加。また、相関サーチのコンテンツだけ表示するために 「Originating App」フィルタを追加

test3.gif

4. 「Originating App」のフィルタで、SIEMの相関サーチに関連しないコンテンツを除外

※「Splunk SOAR」と「Splunk User Behavior Analytics」に該当するコンテンツは表示しない

test4.gif

5. 「Data Sources」、「Data Source Category」、「データモデル」のフィルタで、特定のデータソースの種別を選択して利用できる相関サーチを抽出

※動画では 「Data Sources」、「Data Source Category」、「データモデル」のそれぞれのフィルタをクリックして表示した後に、「Data Sources」の「AWS」をクリックして、AWS関連の相関サーチを抽出した

test5.gif

今回、ログソース関連のフィルタ 「Data Sources」、「Data Source Category」、「データモデル」を表示していますが、それ以外にMITRE ATT&CKのTactic, Technique, Threat Groupsなどのフィルタを使って相関サーチを抽出することができる

まとめ

  • Splunkセキュリティコンテンツは「Splunk ES Content Update(ESCU)」を指す。このApp単体で相関サーチを探すことはできない。他の「Splunk Security Essentials(SSE)」や「Splunk Enterprise Security」のAppで探す。
  • 「Splunk Security Essentials(SSE)」の「Security Content」画面で、さまざまなフィルタを使うことで要件に応じた相関サーチを抽出することができる 

今日もHappy Splunking!!

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0