Splunk Security Essentials(SSE) のMITRE ATT&CK Framework ダッシュボードを利用してみる!!

はじめに

• 前回の記事で、検知ルール(相関サーチ)を探すために使うApp「Splunk Security Essentials(SSE)」について、さらに詳しく紹介しました。
• 今回はSSEの「MITRE ATT&CK Framework ダッシュボード」の使い方をご紹介します。
• セキュリティ界隈で人気が高いMITRE ATT&CKのマトリクスで、セキュリティコンテンツ有効化の状況を俯瞰して確認できたら、SIEMを利用した検知を拡張する上での参考になるのではと思い、記事を作成しました。

Splunkセキュリティコンテンツは、「Splunk ES Content Update(ESCU)」を指します。ESCUはこちらの記事で紹介しています。

MITRE ATT&CK Framework ダッシュボードとは

• 有効化したコンテンツ、もしくは有効化可能なコンテンツを、MITRE ATT&CK FrameworkやCyber Kill Chainといったセキュリティフレームワークに対してマッピングして確認できます。SSEでは、それをAnalytics Advisorというビューで提供しています。
• メニューの「Analytics Advisor」にある「MITRE ATT&CK Framework」をクリックして、ダッシュボードを表示します。以下はダッシュボード表示後の画面。
  

本ダッシュボードを利用するためには、SSEの[セットアップ]→[1 - Data Inventory]→Introspectionを実行しておく必要があります。SSEの「Data Inventory」とは、どのような種別のデータがSplunkに取り込まれているか可視化するための機能です。

MITRE ATT&CK Framework ダッシュボードの画面構成

以下、ダッシュボード画面のそれぞれの構成について説明します。

① 有効化済み/有効化可能な相関サーチ数

以下の項目ごとに、相関サーチ数が表示されます。

• アクティブ：有効化済みのサーチ数
• Available：取込済みデータに対して有効化可能なサーチ数
• Needs Data：相関サーチに対応したデータをさらに取込んだ場合に、有効化可能なサーチ数

② 「1. Available Content」画面

各種フィルタ条件を指定したり、MatrixやChat Viewなどのビューを利用することで、MITRE ATT&CK Frameworkと照らし合わせたコンテンツ活用の参考にすることができると思います。
以下に、ユースケースごとの活用例を載せました。

ユースケース1. 既存の利用可能なコンテンツでカバーされる攻撃手法(Technique)を確認する

• 「次の色」のフィルタ： 「Content (Total)」を指定
  MITRE ATT&CKの各攻撃手法(Technique)に該当する、有効化済み/有効化可能な相関サーチの総数が多いほど、濃い青色でハイライトされます。ビューを変えることで、異なる視点でカバレッジを確認できます。
  ※コンテンツ数にはサブテクニックも含まれます。

ユースケース2. 現在の有効化したコンテンツのMITRE ATT&CKフレームワークでのカバレッジを確認する

• 「次の色」のフィルタ： 「Content (Active)」を指定
  有効化した相関サーチに対応する攻撃手法(Technique)がハイライトされます。有効化済みの相関サーチの総数が多いほど、濃い青色で表示されます。
  

ユースケース3. 所有するデータに基づくコンテンツでカバーされる可能性のある攻撃手法(Technique)を確認する

• 「Highlight Data Source」フィルタ：「Network Communication」などを指定
  様々なデータソースの種別を指定し、そのデータソースのMITRE ATT&CKフレームワークでのカバレッジを確認できます。以下は、ネットワークトラフィックのデータソースである「Network Communication」を指定しています。

ユースケース4. 自社が該当する業界をターゲットにしている脅威グループを確認する

• 「MITRE ATT&CK Threat Group」フィルタ：「Industry：Healthcare」などを指定
  業界を指定し、特定の攻撃手法(Technique)にカーソルを当てると、その攻撃手法を使用するMITRE ATT&CK 脅威グループを確認できます。

ユースケース5. MITRE ATT&CKのCloud Matrixでは、いくつの攻撃手法(Technique)がカバーされているか。

• 「MITRE ATT&CK Matrix Platform」フィルタ：「Cloud」を指定
  MITRE ATT&CK Cloud Matrixで、既存の利用可能なコンテンツでカバーされる攻撃手法(Technique)を確認することができます。他のOffice 365や、SaaS、WindowsなどのMITRE ATT&CKフレームワークを指定できます。

② 「2. Selected Content」画面

各種フィルタ条件を指定して選択されたコンテンツ数などの情報を確認したり、相関サーチ概要を確認できるContent ListやSelection by Data Sourceなどのビューを利用することができます。

③ 「3. View Content」画面

「Drill down to content selection」のボタンをクリックすることで、前回の記事でご紹介した「Security Content」の画面に遷移することができます。「Security Content」は、相関サーチを検索するために利用するSSEのビューになります。

さいごに

• サイバー攻撃に対する検知を考えていく上で、MITRE ATT&CK Frameworkは俯瞰的な視点でギャップを考える良いツールになるのではないかと考えます。私は特にユースケース2の有効化済みコンテンツのカバレッジが参考になると思っています。みなさまのSIEMを利用した検知を考える上で、こちらの記事が参考になれば幸いです。

今日もHappy Splunking!!