k2-ornata(個人的「やってみたこと」ブログ)

Virus TotalのSplunk用Addonであるvt4splunkを使ってみた(ハッシュ編)

by

keitsu
in ,
このエントリーをはてなブックマークに追加
Pocket

Virus TotalのSplunk用Addonであるvt4splunkを使ってファイルハッシュの調査をしてみたのでここに記録しておきます。

1.ハッシュ値の準備

vt4splunk経由で確認するファイルのハッシュ値を準備します。

今回は、MISPにて収集した IoCデータの中から以下の赤枠のハッシュ値でテストしてみることにしました。

MISP – IoCサンプル1

なお、MISPではこのハッシュはまず、Payload delivery というタイプで2019-04-10 に配布されており、その後、md5 のタイプで 2019-04-12に配布されているようです。

MISP – IoCサンプル2

2.vt4splunkにハッシュデータを直接渡す

それでは先ほどのMISPから取り出したハッシュをvt4splunkを使って評価してみます。

Search画面から以下のコマンドを打つと、testhashで指定したファイルハッシュに対する Virus Totalでの評価結果を検索結果の一部として表示することができるようになります。

Splunk vt4splunk addon

これをみるとこのハッシュが最初に報告されたのが、2019-04-12 となっています。

ほぼ同時期ですが、Payload delivery というタイプでMISPを確認しておけば、2日早くこのファイルをハッシュにて検知できていたようですね。

Related posts:

  1. Splunk Addon BuilderでSplunk からShodanのREST API にアクセスするAddonを作ってみた
  2. Splunk のMISP Addon(MISP42)を使ってMISPの大量データの中から指定したIoCを検索してみた
  3. MISP と Splunk をREST APIで連携させて、特定のイベントのMD5をSplunk上に表示させてみた
  4. Virus TotalのSplunk用Addonであるvt4splunkを使ってみた(IPアドレス編)

Comments

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA