はじめに
- SIEMを使ったユースケースとして脅威ハンティングがありますが、実際のサイバー攻撃を基にしたハンティングのためのクエリを公開しているWebサイトは少ないかと思います
- Splunkが公開している脅威リサーチチームブログで、詳細なサイバー攻撃の事例や、分析のためのクエリが載っているので、脅威ハンティングを行うための参考としてご紹介します
Splunk脅威リサーチチームブログについて
-
Splunk脅威リサーチチームはサイバーセキュリティの研究に重点を置き、新しい攻撃手法やマルウェア、脆弱性について調査しています。また、セキュリティの専門家が最新の脅威に対抗するための情報を提供しており、検知コンテンツの開発や研究手法の紹介も行っています
-
実際のサイバー攻撃の事例ごとに、Splunk脅威リサーチチームが調査結果をブログとして次のWebサイトで公開しています。ブログでは攻撃シナリオに対するSplunkを用いた分析や対応方法のガイドが含まれます
- Splunk脅威リサーチチームブログ:リンク
- Splunk脅威リサーチチームブログ:リンク
-
攻撃の事例に基づいて、Splunkで使用できる相関サーチのクエリ(SPL)を公開しています。このクエリを活用することで、SIEMを使った脅威ハンティングを行うことができます
SOCアナリストやセキュリティ担当者(ブルーチーム)にとってのメリット
- セキュリティ監視対象の組織に対して発生し得る具体的な攻撃の例として参考にすることができます。例えば、組織で利用しているSaaSや、製品に関連する攻撃情報の入手です。該当している場合は、公開されているクエリを利用した脅威ハンティングを行うことができます
- 詳細な分析や対策の考え方が紹介されているため、ブルーチームのメンバーは自身の知識とスキルの向上に役立てることができます
Splunk Enterprise Securityでの脅威ハンティング実施例
- 攻撃手法に対する分析や、異常なログイン試行の識別などのクエリを、Splunk Enterprise SecurityのRBA(リスクベースアラート)のリスクルールとして設定を行えば、過度にアラートを発生させることなく、検知ルールとして利用できます
- クエリを利用して都度サーチを行うのではなくて、RBAのリスクルールでスケジュールサーチとして定期的に実行することで、脅威ハンティングの自動化ができます
- スケジュールサーチでは、負荷を減らすために1日1回の実行で脅威ハンティングを行うやり方もあります
Microsoft365への攻撃シナリオ解説ブログ
次のブログでは、国家支援の脅威アクター「MidnightBlizzard」(Nobelium/APT29)によるMicrosoft365環境への攻撃シナリオを解説しています
この攻撃では、侵害された特権を持つレガシーなOAuthアプリケーションを利用し、Office 365 Exchange Onlineの「full_access_as_app」ロールを割り当て、メールボックスへの不正アクセスを行いました。
この手法により、攻撃者は組織内のメールデータを収集し、情報漏洩を引き起こす可能性があるという事例になります。
Hunting M365 Invaders: Navigating the Shadows of Midnight Blizzard:リンク
-
攻撃シナリオとして、MITRE ATT&CK Tactics(戦術)の流れで攻撃手法を解説しています
-
Microsoft365監査ログとEntra IDログを使った分析方法や、異常なログイン試行の識別方法など、具体的な対策が示されています
さいごに
- 上記のMicrosoft365への攻撃シナリオを解説したブログ以外にも、さまざまな分析ブログが公開されています
- 他に、本番環境に近いラボ環境構築や、その環境に対して攻撃シミュレーションを実行できるSplunk Attack Rangeの新しいバージョンリリースのブログなども公開されています
- セキュリティ監視における参考として、この記事が少しでも役に立ちましたら嬉しいです
今日もHappy Splunking!!