前回、下記のブログで Splunk Security Essentialsにてどんな検知ルールが提供されているか確認してみました。
しかしながら、私の環境の Splunk Security Essentials Appsは1年以上前にインストールしたもので、最近の製品に対する検知ルールが提供されていないようでした。
そこで調べてみたところ、Splunk ES Content Updateという Appsが存在し、それをつかうと最新の検知ルールが取り込めるようでしたので、さっそく Splunk にインストールしてみることにしました。
Splunk ES Content Updateのインストール
上記のサイトから Splunk ES Content Updateの ZIPファイルが落とせるのでそれをダウンロードします。
そして App のギアマークのところからその ZIPを取り込むと、以下の通り Splunkの左ペインに Splunk ES Content Updateが登録されました。
Splunk ES Content Update
Splunk ES Content Updateのダッシュボードを開いてみると、以下のような画面が表示されました。ちょっとかっこいい感じ。
Zscaler の検知ルールを発見
その画面をみると Splunk Security Essentials の Apps で見覚えのある「Analytic Story」が選べるようですので、そこをクリックしてみると Zscaler のルールもあるようです。
でもなぜか、Splunk Security Essentials の方の Analytic Storyを見ても Zscaler がでてこない。。。
そこで、画面下に検知されていた「Zscaler Browser Proxy Threats」をキーワードでググってみると、以下の通り Splunkサイト にてこの Analytic Storyが紹介されていました!
Zscaler Behavior Analysis Threat Blocked(Splunk)
https://research.splunk.com/web/289ad59f-8939-4331-b805-f2bd51d36fb8/
また Zscaler関連の検知ルールがまとめられているページもあります。これは便利ですね!
Zscaler Browser Proxy Threats
https://research.splunk.com/stories/zscaler_browser_proxy_threats/
<参考サイト>
・Analytic Stories(Splunk)
https://research.splunk.com/stories/
・SplunkセキュリティコンテンツのSIEM検知ルール(相関サーチ)の探し方!!(Qiita)
https://qiita.com/hasec/items/44da44bcca40403c64b0
コメントを残す