Splunk Security Essentials には様々なソース(監視対象ログ)に対する MITER ATT&CK に対応した検索文が用意されている。
この検索文を定期的に実行することで、該当するログが発生したときにアラートを発生されることも可能であり、とても有用な Appsになっている。
Analytic Story Detail
例えば、Security Essentials のメニューから「Analytic Story Detail」を選択してみます。
![](https://k2-ornata.com/wp-content/uploads/2024/06/splunk_se_detect-rules_01-500x320.jpg)
すると下図のように、プルダウンが表示され、 Active Directory などさまざまなログソースを選択することができます。
![](https://k2-ornata.com/wp-content/uploads/2024/06/splunk_se_detect-rules_04-500x320.jpg)
以下は 「Office 365 Detections」を選んだ結果ですが、「O365 Added Service Principal」など様々なログを検知する検索文とそれが MITER ATT&CKのどれに相当するのかが記載されています。
![](https://k2-ornata.com/wp-content/uploads/2024/06/splunk_se_detect-rules_02.jpg)
![](https://k2-ornata.com/wp-content/uploads/2024/06/splunk_se_detect-rules_03.jpg)
Ransomware Content Browser
また、Security Essentials のメニューから「Ransomware Content Browser」を選択すると、ランサム攻撃のライフサイクルを可視化した図と共に、それぞれのシーンに該当するログが発生していないか検索することができるようです。(実際に試してはいませんが。。。)
![](https://k2-ornata.com/wp-content/uploads/2024/06/splunk_se_detect-rules_05.jpg)
![](http://image.moshimo.com/af-img/0068/000000004159.gif)
コメントを残す