Go to Qiita Advent Calendar 2024 Top
LoginSignup
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@hasec

Splunk Enterprise Securityを使ったSIEM検知ルール(相関サーチ)の探し方!!

Last updated at Posted at 2024-02-07

はじめに

  • Splunkではサイバー攻撃の検出・調査で使用する相関サーチ集を「Splunk ES Content Update(ESCU)」として提供しています。ESCUについては、こちらの記事に参考となる情報を載せています。
  • ESCUのライブラリを活用するためには、「Splunk Security Essentials(SSE)」や「Splunk Enterprise Security」のAppが必要です。SSEは前回までの記事でご紹介しました。
  • 今回は「Splunk Enterprise Security」を活用した検知ルール(相関サーチ)の探し方についてご紹介します。

「Splunk Enterprise Security」で相関サーチを探す

Splunk Enterprise Securityは、セキュリティに特化した各種機能を提供するPremium Appの位置付けです。Splunk Enterprise Securityを利用するには、追加のライセンス費用が必要です。

image.png

  • Splunk Enterprise Securityのワークショップは、Splunk Japan主催で不定期に開催されています。
  • 相関サーチは、以下のSplunk Enterprise Securityの「使用事例ライブラリ」画面を使って探します。この「使用事例ライブラリ」 は、「Splunk ES Content Update(ESCU)」の分析ストーリーと相関サーチを探すための機能です。
    image.png

「使用事例ライブラリ」画面の表示の仕方

  • 「Enterprise Security」のAppを選択して、以下のホーム画面を開く
    image.png

  • メニューの「設定」、「コンテンツ」をクリックして、「使用事例ライブラリ」を選択
    test1.gif

「使用事例ライブラリ」画面の構成

以下、使用事例ライブラリ画面のそれぞれの構成について説明します。使用事例ライブラリ画面のトップ画面では、ESCUの分析ストーリー単位で表示されます。
サイバー攻撃の手口をもとに分析ストーリー(Analytic Story)が定義されており、分析ストーリーごとに複数の相関サーチ(検知サーチ)が含まれます。

①使用事例タブの説明とフィルタ

  • 画面左端の使用事例には「Abuse」や「敵対者戦略」などのユースケースカテゴリが定義されており、選択すると関連する分析ストーリーが右ペインに表示されます。
  • 右ペインには分析ストーリーが表示され、各種フィルタや、文字列を入力して検索することで絞り込みができます。

image.png

②分析ストーリーの説明と各関連情報

  • 分析ストーリーごとに複数の相関サーチが含まれます。相関サーチのデータモデルやルックアップ、各種フレームワークマッピング情報を確認できます。
  • 分析ストーリーに含まれる複数の相関サーチが「Correlation Searches」に該当します。Correlation Searchesの実態はSPL=Saved Searchです。
  • 画面の「使用中」の箇所で、分析ストーリーに関係するAnalytic Ruleが一つでも有効化されているとFlag🏁が表示されます。
  • 画面の「ソースタイプ」の箇所で、[!]が表示されている場合、そのデータがない事を示しています(取り込み要検討)
  • 画面の「データモデル」の箇所で、✓が表示されている場合、検知に必要なデータが存在していることを示しています。

image.png

③分析ストーリーの詳細

分析ストーリー名のリンクをクリックすることで、詳細画面に遷移します。今回は「Suspicious AWS S3 Activities」を例に説明します。

  • 「Suspicious AWS S3 Activities」に紐づけられている相関サーチ(Detection:検知サーチ・Investigation:調査サーチ)が表示されます
  • Detection:検知サーチは、検知ルールとして利用します。Investigation:調査サーチは、Detectionの検知後の調査時に使用するサーチです。
  • 選択した相関サーチの詳細が表示されます
  • [相関サーチを編集する]ボタンをクリックすることで、選択している相関サーチの(コンテンツ管理機能の)編集画面に遷移します

image.png

④分析ストーリー中の相関サーチ

  • [サーチ]を展開するとそのルールで使われているサーチが表示されます。🔍マークをクリックすることで検索が実行され、画面下部に結果が表示されます。

image.png

さいごに:使用事例ライブラリのフィルタ使用例

以下のようなフィルタでの指定の仕方で、分析ストーリー・相関サーチを検索できます

1. フレームワーク、ログソースのデータモデルの指定

  • 利用フィルタ:フレームワークマッピング、データモデル
    特定のMITRE ATT&CKのTechnique IDや、取得済み・取得予定のログソースのデータモデルをフィルタで指定する
     例) T1047, T1055.001, Authentication, Network_Traffic, Endpoint

2. 使用事例(ユースケース)の指定

  • 左端の使用事例タブをクリック
    分析ストーリーは使用事例で分類されている。目的に沿った使用事例を選択する
     例)敵対者戦略, Cloud Security, マルウェア

3. 環境・アセット・攻撃の手口をフィルタに入力して指定

  • 利用フィルタ:フレームワークマッピング
    パブリッククラウド、アセットの名称や、さまざまな攻撃の手口の名称をフィルタで指定する
     例)AWS, Azure, GCP, Active Directory, Juniper, Ransomware, CVE-2022-1388

今日もHappy Splunking!!

3
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?