新規にSplunkで監視ルールを作成する際の情報が流れとしてまとまったサイトがなかったのでまとめてみました。
1.Splunk に取り込むログを出力する機能を整理
例えば、AADRiskyUsersのログであれば、Identity Protectionの機能から出力されるよね、といったことを整理していく。
リスク データをエクスポートする(Microsoft Learn)
https://learn.microsoft.com/ja-jp/entra/id-protection/howto-export-risk-data
2.ログ出力機能から検知可能なATT&CKのテクニックを整理
ログを出力する機能が分かれば、MITRE CTID やDTT&CTなどを使って、ATT&CKのどのテクニックが検知できるか確認する。
Microsoft Azure Security Control Mappings to MITRE ATT&CK®(MITRE CTID)
https://center-for-threat-informed-defense.github.io/security-stack-mappings/Azure/README.html
rabobank-cdc / DeTTECT
https://github.com/rabobank-cdc/DeTTECT
3.テクニックを検知する為のSPLを検討
検知できそうなテクニックがわかったら、それに該当する検知ルールを Splunk Security Content や Sigmaルールを活用し検討する。
Splunk Security Content
https://research.splunk.com/detections/
SigmaHQ / sigma
https://github.com/SigmaHQ/sigma/tree/master/rules/cloud
NVISOsecurity / sigma-public
https://github.com/NVISOsecurity/sigma-public
コメントを残す