0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

SOARやろうぜ!無償のPhantom Community版使って。~Playbook設定編~

Last updated at Posted at 2020-04-24

前回のおさらい

本記事のスコープ

  1. Phantomの理解とインストール
  2. 実現したいPlaybookのサンプルを選択
  3. 必要となる連携Appを設定
  4. Playbookを編集 ←ここ
  5. Playbookを実行 ←ここ

想定シナリオとワークフロー

Webサイトに対する不正アクセス元IPの調査

  • 想定ワークフロー

    1. Webアクセスログに残ったアクセス元SrcIP情報をSplunkで検知しアラートをphantomに連携
    2. SrcIPをVirusTotalのIP Reputationでチェック
    3. SrcIPをwhoisデータベースにてチェック
    4. Splunk内のWebアクセスログを表示し(UserAgentやuri_pathを確認)
    5. アナリストがチェックして対応決定
    6. Network機器にてIPアドレスblockリストに登録
  • Phantom上で作った結果
    スクリーンショット 2020-04-24 13.51.54.png

Playbookを編集

  • ゼロからPlaybookを作ると理解が進むが、まずは↑のplaybookをインポートしてもらい編集モードで見てもらうほうが楽です
    • playbookはこちらに。
    • tgzファイルをDL後、
      Phantom4.6以降のバージョンで利用してみてください。
    • Playbookメニュー右端から2つ目のインポートを選択
スクリーンショット 2020-04-24 14.13.06.png
  • phantom内のlocal repoにUPLOAD
スクリーンショット 2020-04-24 14.08.02.png
  • Import成功
スクリーンショット 2020-04-24 14.08.12.png
  • Playbookを開くと、MISSING ASSETSが表示されています。これは利用するPlaybookに必要なAppの設定情報(Asset)がない場合に出てきます。
スクリーンショット 2020-04-24 14.08.38.png
  • RESOLVE MANUALYを選んで1つ1つのアクションとAppを紐付けていきます。
スクリーンショット 2020-04-24 14.08.50.png
  • この場合、SplunkサーチAppとPassiveTotal Appが不足していたのでAppを作成してplaybookに関連づけていきます
スクリーンショット 2020-04-24 14.09.06.png
  • 警告をあらわすアイコンがなくなればPlaybookは修正完了。PLAYBOOK SETTINGにて、Operates on欄にてラベルを選択します。
スクリーンショット 2020-04-24 14.10.51.png
  • ラベルは、Splunkから飛ばして連携する際のアラートと合わせる必要があります。
  • Splunk側の設定の前に、Phantom内に新たなラベル(web)を作成しておきます。

スクリーンショット 2020-04-24 14.24.16.png

  • そしてPhantomのAPIの口をあける設定をしておきます。下記メニューにてautomationユーザをEditします。
    スクリーンショット 2020-04-24 14.36.23.png

  • ポイントはPhantomのAPIへのアクセス制御をAllowed IPsでしっかりとかけておくこと。
    スクリーンショット 2020-04-24 14.37.15.png

  • 中段のREST APIトークンを後ほどSplunk側で設定しますのでコピー

  • 最後に。Playbook内のアクションにて不審なIPアドレスをblock_ipリストに追記します。事前にblock_ipリストの箱を作成しておきます。
    スクリーンショット 2020-04-24 15.02.45.png

Splunkのアラート連携設定

  • アラートを飛ばすSplunkに以下のAppをインストールします。

  • Phantom関連のAppは紛らわしい名前で4つ近くありますが、アラート連携に使うのはこちらです。
    スクリーンショット 2020-04-24 14.28.47.png

  • まずPhantomのAPI連携をするのですが、SSL証明書のVerifyを無効にします。(テスト利用のため)

  • ここではSplunkにCLIアクセスしてlocal/phantom.confを修正する必要があります。詳細はこちらご参考ください
    スクリーンショット 2020-04-24 14.33.38.png

  • 続いてSplunkとPhantomをAPI連携させます。設定方法詳細はこちら

  • New Server設定時に前にコピーしたtokenを貼り付けて保存。
    スクリーンショット 2020-04-24 14.40.42.png

  • 設定がすむとサーバリストが表示されます。

スクリーンショット 2020-04-24 14.31.00.png
  • APIテスト接続とPlaybookの同期をしておきます
    スクリーンショット 2020-04-24 14.43.20.png

  • Splunkのアラートを作成しアラートアクションにPhantomを設定します。

  • アラートのサーチ結果の中身にはsrcフィールドが含まれるデータを用意するようにします。
    スクリーンショット 2020-04-24 14.58.24.png

  • アラートアクションにてSend to Phantomを選択し、設定したPhantom Instanceを選び、LabelにWebと記入し保存。
    スクリーンショット 2020-04-24 14.49.24.png

Playbookを実行

  • Splunkからアラートが連携されているとWebタグのイベントが出てくるはずです
スクリーンショット 2020-04-24 15.36.52.png
  • 届いているEventを開いてみる
    スクリーンショット 2020-04-24 16.16.37.png

  • まだ何もない
    スクリーンショット 2020-04-24 15.48.39.png

  • Artifactを見ると、srcおよびsourceAddressが抽出されていることが確認できる。これでPlaybookがまわせそう。
    スクリーンショット 2020-04-24 16.18.10.png

  • 手動でPlaybookを回す

スクリーンショット 2020-04-24 16.14.47.png
  • アクションが順番に実行されていきみるみる結果がそろっていく
スクリーンショット 2020-04-24 16.07.31.png
  • Splunkサーチ結果も表示されている(ここは皆さんサーチ結果が取得できずに何もでないと思われます)
スクリーンショット 2020-04-24 16.11.38.png
  • エラーが出ていてもポチポチおしていけば原因はわりとすぐに分かる
  • Passive TotalのCommunity API制限にかかってしまった模様。
スクリーンショット 2020-04-24 16.07.50.png
  • 次にアラート連携されたら自動で実行するように設定。右下のActiveをONにしてSAVEすることで自動実行が可能になります。
    スクリーンショット 2020-04-24 15.54.44.png

そしてSplunk Mobileで実行結果の確認&承認を実行!

  • Splunk Mobileとの連携も楽!iOSにアプリをインストールさせて連携すればいつでもどこでもPhantomを操作可能
IMG_215A6F0471E0-1.jpeg
  • アクションの承認もMobileからできちゃう
    スクリーンショット 2020-04-24 16.04.45.png

  • セットアップ手順はこちら

今後は

  • 数ヶ月前に以下を書いていたときから心象がかわって、なぜかWebサイトへの不正アクセスIP調査playbookの作成になってしまいました。。
  • 次はエンドポイント周りに対する新たなPlaybookを作成した場合に共有していきたいと思います!
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?