Go to Qiita Advent Calendar 2024 Top
LoginSignup
3
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@hasec

Splunkセキュリティコンテンツのサーチタイプ『Baseline』について!!

Last updated at Posted at 2024-08-05

前回までの記事紹介

  • Splunkでは、サイバー攻撃の検出・調査で使用する相関サーチ集を「Splunk ES Content Update(ESCU)」として提供しています。このESCUは、Splunkセキュリティコンテンツに該当します。ESCUについては、こちらの記事に参考となる情報を載せています。

  • ESCUの相関サーチはそれぞれ検知・分析のためのサーチタイプが定義されており、前回の記事で、ESCUの各種サーチタイプに関してご紹介しました。

はじめに

  • 前回の記事の「サーチタイプの説明と利用例」の箇所で、サーチタイプ「Baseline」を紹介しました。
  • 他のサーチタイプや、機械学習(MLTK)を利用する一部のESCUのサーチでは、関連するBaselineサーチを事前に実行する必要があります。この記事では、「Baseline」のサーチについて解説します。

Baselineサーチ実行が必要となる場合について

  • Baselineサーチの実行が必要な場合、各サーチ説明の「How To Implement」(実装方法)に、実行が必要なBaselineサーチ名が記載されています。

  • 例えば、以下のESCU相関サーチが、「Baseline of S3 Bucket deletion activity by ARN」の定期的な実行が必要となります。

相関サーチ名: Detect Spike in S3 Bucket deletion (サーチタイプ: Anomaly)
分析ストーリー名: Suspicious AWS S3 Activities

実装方法の抜粋
このサーチは、「Baseline of S3 Bucket deletion activity by ARN」サポートサーチを一度実行し、以前に見たS3バケット削除アクティビティのベースラインを作成すると効果的です。

以下は、Splunk Enterprise Securityの使用事例ライブラリで、分析ストーリー「Suspicious AWS S3 Activities」を表示し、「ESCU - Detect Spike in S3 Bucket deletion - Rule」を選択した画面です。
image.png

注意
このサーチは、Splunk Threat Research Team によって EXPERIMENTAL とマークされています。これは、このサーチが手動でテストされたが、自動テストを実行するための関連する攻撃データがない状態で検証された位置付けのサーチであることを意味しています。

Baselineサーチ有効化の手順について

  • Splunk Enterprise Securityの「コンテンツ管理」、もしくは設定の「サーチ、レポート、アラート」からBaselineサーチ名を検索して有効化します
  • 例として、「Baseline of S3 Bucket deletion activity by ARN」の有効化手順を以下で説明します

1. コンテンツ管理の検索バーで、「Baseline of S3 Bucket deletion activity by ARN」を入力

対象のBaselineサーチが表示されたら、サーチの名前をクリック
image.png

2. サーチ、レポート、アラート画面に遷移後、オーナーのプルダウンメニューから「すべて」を選択する

少し時間が経った後に、Baselineサーチが表示される
image.png

3. アクションの編集をクリックして、「有効」を選択する

「有効」を選択後に、ステータスが「無効」から「有効」になったことを確認する

image.png

注意
Baselineサーチのスケジュール実行前に、相関サーチで利用されるベースラインのデータを作成したい場合は、アクションの「実行」を手動で選択して実行します。ただし、Baselineサーチの定期的な実行が前提となる場合があるため、その場合はBaselineサーチの有効化も行ってください。

機械学習ツールキット(MLTK)を利用する相関サーチの例

  • 機械学習ツールキット(MLTK)を利用する相関サーチでは、Baselineサーチで作成したモデルを使用する場合があるため、Baselineサーチを事前および定期的に実行する必要があります。
  • Baselineサーチの実行が必要な場合は、各サーチ説明の「How To Implement」(実装方法)に、実行が必要なBaselineサーチ名が記載されています。
  • 例えば、以下のESCU相関サーチが、「Baseline of SMB Traffic - MLTK」の定期的な実行が必要となります。

相関サーチ名: SMB Traffic Spike - MLTK (サーチタイプ: Anomaly)
分析ストーリー名: Ransomware

実装方法の抜粋
サポート検索「Baseline of SMB Traffic - MLTK」は、この検索で使用される履歴データに対して機械学習(ML)モデルを構築するため、この検出検索の前に実行する必要があります。
定期的にサポート検索を再実行して、環境で利用可能な最新のデータでモデルを再構築する必要があります。

以下は、Splunk Enterprise Securityの使用事例ライブラリで、分析ストーリー「Ransomware」を表示し、「ESCU - SMB Traffic Spike - MLTK - Rule」を選択した画面です。
スクリーンショット 2024-08-05 15.47.47.png

さいごに

  • Baselineサーチは、ESCUの各相関サーチを使いこなす上で参考になるかと思い、今回の記事を作成しました。
  • 前回と今回の記事で、一通りのESCUの相関サーチタイプに関してご紹介していますので、参考にしていただけたら嬉しいです。

今日もHappy Splunking!!

3
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?