前回、下記のブログで Splunk Security Essentialsにてどんな検知ルールが提供されているか確認してみました。
しかしながら、私の環境の Splunk Security Essentials Appsは1年以上前にインストールしたもので、最近の製品に対する検知ルールが提供されていないようでした。
そこで調べてみたところ、Splunk ES Content Updateという Appsが存在し、それをつかうと最新の検知ルールが取り込めるようでしたので、さっそく Splunk にインストールしてみることにしました。
Splunk ES Content Updateのインストール
上記のサイトから Splunk ES Content Updateの ZIPファイルが落とせるのでそれをダウンロードします。
そして App のギアマークのところからその ZIPを取り込むと、以下の通り Splunkの左ペインに Splunk ES Content Updateが登録されました。
Splunk ES Content Updateのダッシュボードを開いてみると、以下のような画面が表示されました。ちょっとかっこいい感じ。
Zscaler の検知ルールを発見
その画面をみると Splunk Security Essentials の Apps で見覚えのある「Analytic Story」が選べるようですので、そこをクリックしてみると Zscaler のルールもあるようです。
でもなぜか、Splunk Security Essentials の方の Analytic Storyを見ても Zscaler がでてこない。。。
そこで、画面下に検知されていた「Zscaler Browser Proxy Threats」をキーワードでググってみると、以下の通り Splunkサイト にてこの Analytic Storyが紹介されていました!
Zscaler Behavior Analysis Threat Blocked(Splunk)
https://research.splunk.com/web/289ad59f-8939-4331-b805-f2bd51d36fb8/
また Zscaler関連の検知ルールがまとめられているページもあります。これは便利ですね!
Zscaler Browser Proxy Threats
https://research.splunk.com/stories/zscaler_browser_proxy_threats/
<参考サイト>
・Analytic Stories(Splunk)
https://research.splunk.com/stories/
・SplunkセキュリティコンテンツのSIEM検知ルール(相関サーチ)の探し方!!(Qiita)
https://qiita.com/hasec/items/44da44bcca40403c64b0
コメントを残す