LoginSignup
0
0
@hasec

Splunkセキュリティコンテンツのサーチタイプによる用途の違いについて!!

Last updated at Posted at 2024-05-09

前回までの記事紹介

  • Splunkでは、サイバー攻撃の検出・調査で使用する相関サーチ集を「Splunk ES Content Update(ESCU)」として提供しています。このESCUは、Splunkセキュリティコンテンツに該当します。ESCUについては、こちらの記事に参考となる情報を載せています。
  • 前回までの記事で、「Splunk Security Essentials(SSE)」または「Splunk Enterprise Security」のAppを活用した検知ルール(相関サーチ)の探し方について紹介しました。
    • Splunk Security Essentials(SSE) を使ったSIEM検知ルール(相関サーチ)の探し方!! 記事リンク
    • Splunk Enterprise Securityを使ったSIEM検知ルール(相関サーチ)の探し方!! 記事リンク

はじめに

  • ESCUのサーチは、それぞれ検知・分析のためのタイプが定義されています。例えば、Splunk Enterprise Securityでアラート(Notableイベント)生成を行うべきサーチや、CRONスケジュールで定期的に実行すべきサーチ(スケジュールサーチ)、サーチ画面で手動で実行するサーチ(アドホックサーチ)やダッシュボードで使うべきサーチです。
  • 通常はないようなアクティビティ(アノマリ)を捉える目的のサーチをアラート設定した場合、不要に多くのアラートを生成してしまう場合があります。ある程度タイプによる用途の違いについては抑えておいた方がいいと思いますので、ここでESCUのサーチタイプに関してご紹介します。

Splunk Security Contentサイトでサーチタイプを確認する

まず、サーチタイプがどこで確認できるかについてご説明します。タイプはSSEのSecurity Content画面や、ESの使用事例ライブラリ上には記されないもので、確認はSplunk Security Contentサイトから可能です。

Splunk Security Contentサイトでは、ESCUに使われる「Detections」や「Analytic Stories」、Splunk SOARで使われる「Playbooks」が公開されています。

Splunk Security Contentサイトのリンク

image.png

以下は「Detections」から「AWS Exfiltration via Bucket Replication」をクリックして、ESCUのサーチを表示した画面です。赤枠の「Type」箇所で、それぞれのサーチタイプを確認できます。このサーチでのタイプは「TTP」です。

image.png

他に、Splunk Security Contentサイトの「Detections」をクリックして表示したサーチ一覧や、「Analytic Stories」のそれぞれの分析ストーリーを表示した際に、赤枠の箇所でサーチタイプを確認できます。

  • 「Detections」のサーチ一覧を表示した画面
    image.png

  • 「Analytic Stories」の「AWS Identity and Access Management Account Takeover」を表示した画面
    image.png

サーチタイプの種類と用途が載っているSplunk GitHubサイト

サーチタイプの種類と用途は、以下のSplunk GitHubサイトに記載されています。Detection Analytic Typesサイトのリンク
次の章にて、日本語でそれぞれのタイプの説明と利用例を記載しました。

image.png

image.png

サーチタイプの説明と利用例

サーチのタイプごとに、どのようなシーンで使用するのに適しているのかを知る事ができます。例えば日常の業務の中でほぼリアルタイムで検知する事が目的や、特定のインシデントをアドホックに発見するために行うHuntingなどです。以下に相関サーチのタイプごとの利用例を記載しました。

タイプ 説明 利用例
TTP TTPは、特定の敵の戦術、技術、手順 (TTPs)を検出するように設計されている。 Notableアラートの生成、リスクベースアラート(RBA)有効化、SOARのPlaybook実行、スケジュールサーチ実行
Anomaly Anomaly分析は、通常は観察されない動きをトリガーする。Anomalyの検知は明示的に悪意がある動きではないかもしれないが、疑わしい検出の可能性がある。Anomaly分析は必ずしも攻撃を示すわけではない。 リスクベースアラート(RBA)有効化、スケジュールサーチ実行
Hunting リスクを高める動きを検出する。ただし、それ自体ではNotableイベントを生成するには誤検知が多すぎる傾向がある。他のさまざまな検出からの集約されたリスクを活用して、Notableイベントを生成する。ハンティング クエリとも呼ばれる アドホックでのサーチ実行、ダッシュボードへのサーチ組込み
Correlation さまざまな検出結果を関連付けて高レベルの脅威を相関付ける分析であり(具体的にはRisk Indexを分析の対象としている)、その主な目的はNotableイベントを生成すること。 Notableアラートの生成、SOARのPlaybook実行、スケジュールサーチ実行
Baseline 他のタイプのサーチや、機械学習(MLTK)を利用する一部のESCUサーチでは、関連するBaselineサーチを事前に実行する必要がある。※Baselineサーチを実行する必要がある場合、各サーチ説明の「How To Implement」(実装方法)に関連するBaselineサーチ名が記載されている。 リスクベースアラート(RBA)有効化、SOARのPlaybook実行、スケジュールサーチ実行
Investigation 調査に使用される分析。一般的には、各種ワークフローの結果を基に、次のステップとして(別のサーチタイプの分析結果を得た後に必要に応じて)Investigationのサーチを実行する。その他、調査目的として単体で使用することも想定される。 SOARのPlaybook実行、別のタイプのサーチ結果を得た後に必要に応じて実行、もしくは調査目的として単体で実行
  • Notableアラートの生成・リスクベースアラート(RBA)はSplunk Enterprise Securityの機能で、SOARのPlaybook実行はSplunk SOARの機能です。
  • タイプがAnomaly・Huntingのサーチでアラート生成を行った場合、不要な多数のアラートを生成する可能性がありますので、利用例を参照ください。
  • ただし、必ずしも利用例に従う必要もなく、SOCの運用形態によっては、Notable・Anomaly・Huntingのサーチをダッシュボードに取り入れて、該当するイベントがないかモニタリングしていく手法も取れます。また、Anomalyのサーチであっても、アラートチューニングができるのであれば、アラート生成していっても問題ないと思います。

サーチタイプの特徴に関するマトリックス表

  • 各タイプの相関サーチは、以下のような特徴を理解して利用することを推奨します。あくまで推奨であるため、タイプがHuntingであっても常時動作(=モニター目的)させても問題はありません。

  • 以下の内容を基本として、Splunk Enterprise Securityのコンテンツ管理で設定されています。必要に応じて設定の変更をすることを推奨します。

タイプ Notableの生成 Riskスコアの増加(RBA) Playbookの実行 ダッシュボードと連動 CRONスケジュールの実行
TTP Yes Yes Yes No Yes
Anomaly No Yes No No Yes
Hunting No No No Yes No
Correlation Yes No Yes No Yes
Baseline No Yes Yes No Yes
Investigation No No Yes No No

Splunk Enterprise SecurityのESCUサーチ設定

Splunk Enterprise Securityのコンテンツ管理で、「Splunk ES Content Update(ESCU)」の相関サーチ設定を編集・有効化することができます。

サーチタイプ「TTP」は”Notable” , ”Risk Analysis ”の設定が既にセットされているため、デフォルトの設定で「Notableアラートの生成」、「リスクベースアラート(RBA)有効化」がされています。
このようにESCUサーチは、Splunk Enterprise Securityでデフォルトの設定を使っていくことができます。

  • 以下は、分析ストーリー「Office 365 Account Takeover」に含まれる相関サーチ 「O365 Multiple Users Failing To Authenticate From Ip」の設定

image.png

image.png

Investigationのサーチを参照できる箇所

Splunk Enterprise Securityの使用事例ライブラリで、分析ストーリーによっては、以下の赤枠箇所のようにInvestigationタブがあり、クリックすると該当のサーチを参照することができます。

別のサーチタイプの分析結果を得た後に、さらに調査を進めるために、必要に応じてInvestigationのサーチを実行します。

image.png

さいごに

  • 日々のアナリスト業務や、ESCUのサーチをSIEMでより活用していくために参考となるかと思いましたので、今回の記事でESCUのさまざまなサーチタイプに関してご紹介しました。
  • Splunk Enterprise SecurityではESCUが既に組み込まれているため、検知・分析を拡張していく上でも参考になるかと思います。

今日もHappy Splunking!!

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0