k2-ornata(個人的「やってみたこと」ブログ)

Splunk Security Essentials に含まれている検知ルールにどんなものがあるが確認してみる

by

keitsu
in
このエントリーをはてなブックマークに追加
Pocket

Splunk Security Essentials には様々なソース(監視対象ログ)に対する MITER ATT&CK に対応した検索文が用意されている。

この検索文を定期的に実行することで、該当するログが発生したときにアラートを発生されることも可能であり、とても有用な Appsになっている。

Analytic Story Detail

例えば、Security Essentials のメニューから「Analytic Story Detail」を選択してみます。

Splunk Security Essentials

すると下図のように、プルダウンが表示され、 Active Directory などさまざまなログソースを選択することができます。

Splunk Security Essentials – Analytic Story Detail

以下は 「Office 365 Detections」を選んだ結果ですが、「O365 Added Service Principal」など様々なログを検知する検索文とそれが MITER ATT&CKのどれに相当するのかが記載されています。

Splunk c- Analytic Story Detail検索例1
Splunk Security Essentials – Analytic Story Detail検索例2

Ransomware Content Browser

また、Security Essentials のメニューから「Ransomware Content Browser」を選択すると、ランサム攻撃のライフサイクルを可視化した図と共に、それぞれのシーンに該当するログが発生していないか検索することができるようです。(実際に試してはいませんが。。。)

Splunk Security Essentials – Ransomware Content Browser

Related posts:

  1. Splunk FreeにSecurity EssentialのAppをインストールしてみた
  2. 攻撃検知にMITER ATT&CKを活用する方法を検討する(その2)
  3. MITER ATT&CK Navigatorで複数の攻撃集団の攻撃テクニックを重ねて色塗りしてみた
  4. Splunk Addon BuilderでSplunk からShodanのREST API にアクセスするAddonを作ってみた

Comments

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA