cas d'usage splunk enterprise security 4.7 · 2017-06-23 · notes et suivre le temps passé,...
TRANSCRIPT
Splunk® Enterprise Security 4.7.0
Cas d'usage
Généré : 20/4/2017 9:37
Copyright (c) 2017 Splunk Inc. All Rights Reserved
33
44
1618
21212426
Table of ContentsIntroduction
Présentation générale
Détection de malwareUtiliser Enterprise Security pour rechercher des malwareUtiliser les données DNS pour identifier le patient zéro d’un malwareRechercher des activités zero-day potentielles grâce à SplunkEnterprise Security.
Identification d'une activité suspecteUtiliser Enterprise Security pour rechercher une fuite de donnéesSurveiller les comptes privilégiés pour détecter les activités suspectesSurveiller les activités menaçantes dans votre environnement grâce àune glass table
Introduction
Présentation générale
Ces cas d'usage vous guideront tout au long des scénarios de surveillance, d’investigation et de détectiond'incidents de sécurité à l'aide de Splunk Enterprise Security. Utilisez les tableaux de bord, les alertes, lesrecherches de corrélation disponibles aussi bien que les recherches personnalisées pour évaluer et remédier auxmenaces dans votre environnement.
Les cas d'usage suivants expliquent de manière pratique comment utiliser Splunk Enterprise Security.
Détection de malware
Utiliser Enterprise Security pour rechercher des malwareUtiliser les données DNS pour identifier le patient zéro de malwareRechercher des activités zero-day potentielles grâce à Splunk Enterprise Security.
Identification d'une activité suspecte
Utiliser Enterprise Security pour rechercher une fuite de donnéesSurveiller les comptes privilégiés pour détecter les activités suspectesSurveiller les activités menaçantes dans votre environnement grâce à une glass table
3
Détection de malware
Utiliser Enterprise Security pour rechercher des malware
Enterprise Security fournit des statistiques et des événements intéressants sur des tableaux de bord spécialisésdans différents domaines de sécurité. L'utilisation simultanée de plusieurs tableaux de bord vous permet de créerun workflow pour enquêter sur les menaces en examinant les résultats, en isolant les événements qui nécessitentvotre attention et en utilisant des informations contextuelles fournies pour analyser le problème en profondeur.
Conditions requises
Vérifiez qu'une instance de la plate-forme Splunk avec Splunk Enterprise Security est installée et configurée.Vérifiez que les journaux d'un outil IDS/IPS, d'un logiciel ou matériel proxy Web et/ou un produit de sécuritéterminal sont indexés dans une instance de la plate-forme Splunk.
Tableau de bord Position de sécurité
Commencez par analyser le tableau de bord Position de sécurité. Le tableau de bord représente un résumé detoute l'activité notable au cours des dernières 24 heures. Un événement notable est le résultat d'une recherche decorrélation orientée sécurité, qui parcourt les journaux indexés jusqu'à ce qu'une correspondance soit trouvée.Lorsqu'un événement notable est créé, il représente une menace ou un problème potentiel qui nécessite unexamen et, selon le résultat de l'examen, une investigation.
Des dizaines, voire des centaines d'événements notables peuvent être représentés dans le tableau de bordPosition de sécurité pour un jour donné. Utilisez le champ d'urgence pour déterminer les problèmes qui nécessitentvotre attention immédiate.
4
Dans le panneau Historique des événements notables, vous pouvez voir un pic d'activité étiqueté « terminal ». Ledomaine terminal représente la sécurité par hôte, ce qui vous permet de savoir qu'il y a eu un pic importantd'activités suspectes sur les hôtes du réseau. Dans le panneau Top des événements notables, vous pouvez voirle nombre d'événements notables triés en fonction du nom de la recherche de corrélation.
Le panneau indique que le nombre d'événements notables Hôte avec une infection récurrente de malware aconnu un pic soudain. Pour analyser ces chiffres en profondeur, sélectionnez le nombre de pics dans la sparklineafin d'ouvrir une autre fenêtre de navigateur et d'explorer le tableau de bord Examen des incidents.
Utilisation d'Examen des incidents
Utilisez le tableau de bord Examen des incidents pour rechercher, affecter, analyser et mettre à jour desévénements notables. Comme le lien vers Examen des incidents a été initié à partir d'un autre panneau de tableaude bord, le tableau de bord Examen des incidents s'ouvre avec une recherche pour les événements notables Hôteavec une infection récurrente de malware et se limite à une brève période.
Priorité de la tâche
La recherche d'Hôte avec une infection récurrente de malware s'étale sur plusieurs niveaux d'Urgence.L'urgence d'un événement est calculée en fonction de la priorité attribuée à un hôte ou un actif et de la gravitéattribuée à la recherche de corrélation.
1. Commencez l'investigation en recherchant les événements notables libellés Critique.
5
2. Supprimez les autres événements notables de la vue en désélectionnant tous les niveaux d'Urgence jusqu'àce que seul Critique demeure.
3. Cliquez sur Envoyer.
Le tableau de bord Examen des incidents affiche uniquement les deux événements notables Critique qui ont étécréés pour un Hôte avec une infection récurrente de malware.
Attribution de tâches
L'attribution d'événements notables initie un enregistrement d'activité que vous pouvez utiliser pour prendre desnotes et suivre le temps passé, et informe les autres analystes qu'un problème est en cours d'investigation.
1. Attribuez l'événement notable à votre compte utilisateur.2. Utilisez la case à cocher pour sélectionner le premier événement notable.3. Cliquez sur le lien Modifier tous les événements correspondants dans la partie supérieure gauche de la
vue de la table.
6
4. Passez le champ État sur En cours, et affectez votre utilisateur comme Propriétaire.5. Modifiez le champ Commentaire conformément à la stratégie de sécurité de votre entreprise.6. Cliquez sur Enregistrer les modifications pour revenir au tableau de bord Examen des incidents
Examen des événements notables
Le champ Description est un résumé des conditions qu'une recherche de corrélation doit trouver pour créer unévénement notable.
1. Cliquez sur la flèche en regard d'un événement notable pour développer la vue et afficher les détails qui s'yrapportent.
2. Examinez les informations fournies avec l'événement notable.
Chaque événement notable possède plusieurs champs qui fournissent des informations contextuelles sur leproblème. Les champs sont renseignés par des données corrélées à partir de journaux d'une ou plusieurssources de données et de collections d'actifs et d'identités.
3. Examinez plusieurs champs pour connaître l’historique de l’hôte ou trouver des indices d'activité. L'Urgenceattribuée à cet événement notable a été partiellement calculée à partir de la priorité attribuée à l'hôte.
4. Commencez l'investigation sur le malware inconnu en recherchant l'adresse IP de Destination. Cliquez sur
7
la flèche en regard du champ Destination pour initier une action de champ. Une action de champ initie unenouvelle recherche sur un autre tableau de bord d’Enterprise Security, en utilisant le champ sélectionnécomme filtre. Cette technique permet de préserver le contexte tout en ouvrant plusieurs tableaux de bord ouen utilisant des vues lors d'une investigation.
5. Dans le menu d'action du champ, sélectionnez Inspecteur d'actifs.
Une nouvelle fenêtre de navigateur s'ouvre dans le tableau de bord Inspecteur d'actifs et commence unerecherche sur l'adresse IP de Destination sélectionnée.
Utilisation de l’Inspecteur d'actifs
Le tableau de bord Inspecteur d'actifs affiche les données relatives à un actif ou à un hôte, collectées et groupéespar catégorie commune de menace. Chaque catégorie est représentée par une ligne nommée de données appeléecouloir d'activité.
Chaque couloir d'activité possède une collection de points de données appelés chandeliers. Le nombred'événements dans un chandelier est représenté par une carte thermique. Plus la couleur est claire, plus le nombred'événements est important.
Vous pouvez voir qu'il existe un grand nombre d'événements en relation avec des malware attribués à cet hôte. S'ily a trop d’événements dans une catégorie donnée, utilisez les curseurs temporels pour réduire la vue à la période àlaquelle l'événement notable a été déclenché.
8
À ce stade, vous pouvez suivre n'importe quel nombre d'événements de malware en relation avec cet hôte.L'investigation commence par le signalement de l'attaque d'un malware inconnu. Utilisez le couloir d'activitéAttaques de malware pour sélectionner un chandelier et examinez les champs communs à l'aide du Panneau desévénements.
Recherche de l'événement
1. Dans le couloir d'activité Attaques de malware, sélectionnez un chandelier.2. Dans le Panneau des événements, recherchez un événement marqué d'une signature inconnue.
3. Cliquez sur l'icône Accéder à la recherche pour ouvrir une autre fenêtre de navigateur afin d'explorer et derechercher l'adresse IP de Destination sélectionnée.
Exploration des événements des journaux
Examinez le tableau de bord Nouvelle recherche. Le tableau de bord se trouve toujours dans le contexted'Enterprise Security, comme l’indique App : Enterprise Security dans le coin supérieur gauche. Ce mode garantitque les valeurs des champs, les alias et les autres catégories de champ fournies avec ES s'appliquent lors del’exploration d’événements bruts de journaux à partir de ce tableau de bord.
Examinez la recherche d'exploration dans la barre de recherche. Le processus commence par identifier le modèlede données | `datamodel ("Malware","Malware_Attacks")` avant d'appeler la valeur normalisée de l'hôte pour lemodèle de données Malware | search ("Malware_Attacks.dest="x.x.x.x"). Une commande de recherche datamodelrecherche les données indexées dans la période, filtre les résultats à travers les contraintes du modèle de donnéesMalware et renvoie toutes les correspondances.
9
Enterprise Security n'utilise pas les modèles de données accélérés pour les recherches d'exploration : il faut doncdéfinir une plage temporelle pour obtenir plus rapidement des résultats. Malware_Attacks.dest représente la référencedu champ dest_ip dans le modèle de données « malware ».
Identification des champs connexes
Vous pouvez voir que l'événement brut comporte beaucoup d'informations à traiter. Commençons par examiner leschamps communs, tels que dest_ip, source et sourcetype. En examinant ces champs, vous pouvez voir que dest_ipréférence une plage d'adresses IP internes. Une recherche sur le système d'inventaire des périphériques de votreréseau peut vous indiquer ce que host ou dest_ip représente.
La source et le type de source identifient les événements comme des données sourcefire. Après avoir confirmé quedest_ip représente un serveur proxy, vous savez que le champ src_ip représente d'autres hôtes sur le réseau internequi accèdent à des données via le proxy.
Cet événement contient également les champs web_app et uri. Ces champs représentent le trafic à partir d'unnavigateur Web vers un site demandant un téléchargement. Déterminons quels champs des journaux source sontpertinents et pourquoi.
Champ Description
src_ip Représente des hôtes internes du réseau.
dest_ip Autre hôte interne, qui s'avère être un proxy.
uri Enregistrement de ce qui est demandé par les hôtes.
web_app Le navigateur utilisé.
Vous savez que l'événement notable Critique représente la signature d'un malware inconnu passé à travers leserveur proxy de votre réseau. À mesure de la progression dans l'investigation et du suivi de données et dedemandes, vous avez créé une liste de champs clés utiles pour comprendre la menace. Comme plusieurstéléchargement de malware ont été signalés par le proxy, étendez la recherche afin de trouver les hôtes internes quien sont responsables.
Analyse période d'une plus longue d'événements
Élargissez la recherche en augmentant la plage temporelle et effectuez une nouvelle recherche.
1. Sélectionnez le bouton Période de dates.2. Réduisez le champ temporel Premier au début de l'heure.3. Augmentez le champ Dernier à l'heure suivante.4. Cliquez sur Appliquer pour conserver les modifications.5. Cliquez sur Rechercher.
La page de recherche affiche maintenant de nombreux événements similaires qui ont traversé le proxy.
10
La vue de recherche affiche beaucoup plus d'événements, mais n’est pas pratique pour regrouper les données enfonction de champs importants. Basculer sur une vue en table vous permet de conserver les champs importants etde bénéficier d'une visualisation plus ordonnée. Une table peut également servir de référence, car les résultatspeuvent être exportés à des fins de rapports.
Pour afficher une table des événements triés en fonction des deux champs les plus pertinents, utilisez la barre derecherche pour ajouter | table src_ip uri à la fin de la chaîne de recherche et cliquez sur Rechercher à nouveau.
Sur la première page des résultats, vous pouvez voir un certain nombre de demandes de téléchargementcourantes. Les fichiers .swfl correspondent à du contenu shockwave flash. Comme shockwave est un frameworkcouramment exploité pour exécuter du code malveillant et des exploits, examinez les champs uri qui décrivent untéléchargement shockwave.
Il existe de nombreuses manières d'approfondir la recherche et de trier les champs uri en fonction des extensionsde fichiers ou d'une correspondance de chaîne. Un domaine suspect fournit un fichier shockwave sur la premièrepage. Déterminons si l'hôte qui a reçu ce fichier a signalé des problèmes ou a téléchargé d'autres contenussuspects.
Recherche d'un hôte exploité
Dans la table des résultats, sélectionnez un champ src_ip dans un événement référençant un fichier shockwave
11
téléchargé.
1. Cliquez sur le champ src_ip.2. Sélectionnez Nouvelle recherche.
Une nouvelle fenêtre de navigateur s'ouvre sur un tableau de bord de recherche et commence la recherchesur le champ src_ip sélectionné dans la plage temporelle.
À partir des résultats, vous pouvez voir des alertes supplémentaires relatives à cet hôte provenant d'autressources de journaux et impliquant que le src_ip spécifique est ciblé par plusieurs formes d'attaques. Il estpossible que cet hôte ait téléchargé un exploit à partir d'un domaine Internet.
3. Examinez les champs uri et file_name de l'hôte.1. Examinez les données sous forme d'une table pour avoir une vue des événements importants.2. Utilisez la barre de recherche pour ajouter | table uri file_name à la fin de la chaîne de recherche et
sélectionnez la recherche.3. Triez la table en sélectionnant le champ uri.
Lorsque vous examinez les résultats, vous pouvez voir qu'un nombre important de fichiers exécutables a ététéléchargé à partir des mêmes domaines.
À ce stade, mettez en quarantaine l'hôte infecté en fonction des données collectées. Vous trouverez plusd'informations dans les journaux du proxy, notamment le domaine utilisé pour télécharger les fichiers suspects. Enapprofondissant la recherche dans les journaux, vous pourrez trouver des informations à utiliser pour remédieractivement au problème.
Pivoter sur l'hôte pour rechercher des fichiers ou des domaines
Dans la table des résultats, sélectionnez un champ uri dans un événement qui référence un domaine suspect.
12
1. Cliquez sur le champ uri.2. Cliquez sur l'icône en regard de Nouvelle recherche.
Une nouvelle fenêtre de navigateur s'ouvre dans un tableau de recherche et commence la recherche sur lechamp uri sélectionné dans la plage temporelle.
3. Modifiez la recherche pour afficher le nombre d'événements et d'hôtes communiquant avec le domaine. Dansla barre de recherche, mettez à jour la chaîne de recherche et ajoutez un caractère générique pour renvoyertoutes les reconnaissances du nom du domaine. Par exemple, uri=*makerealcashnow.com*.
Augmenter la plage temporelle pour élargir la recherche
1. Cliquez sur Période de dates.
2. Sélectionnez l'option Dernières 24 heures et cliquez sur Rechercher.
13
Vous pouvez voir que le nombre total d'événements accédant à ce domaine au cours des dernières 24 heuresest élevé.
3. Examinez le champ src_ip dans le sélecteur de champ pour identifier un nombre d'hôtes uniques ayant tentéune connexion à ce domaine. Plusieurs hôtes doivent subir un scan pour détecter d’éventuels malware. Lerapport de tous les hôtes recevant des téléchargements partir de ce domaine sera très utile.
Créer les rapports de résultats
Examinez les données au format de table.
1. Utilisez la barre de recherche pour ajouter | table src_ip uri file_name à la fin de la chaîne de recherche.2. Cliquez sur Rechercher.
Les résultats présentent une liste des hôtes potentiellement infectés, accompagnés des noms de fichierssuspects, et elle peut être envoyée à l'administrateur du terminal pour action immédiate.
Vous pouvez exporter les résultats pour les insérer dans un rapport ou les joindre à un e-mail.3. Cliquez sur le bouton Exporter.
4. Mettez à jour le champ Nom de fichier et enregistrez les résultats au format .csv.5. Cliquez sur Exporter pour télécharger les résultats.
14
6. (optionnel) Cliquez sur Enregistrer sous et sélectionnez Rapport pour enregistrer le rapport.
7. Renseignez les champs obligatoires et rédigez un résumé du rapport dans le champ Description.
8. Cliquez sur Enregistrer pour écrire le rapport sur la search head. Par défaut, le rapport est privé et visibleuniquement par son créateur.
Mise à jour de l'événement notable
Avant d'exécuter une analyse supplémentaire, mettez à jour l'événement notable dans le tableau de bord Examendes incidents. Enregistrez tous les objets ou rapports qui sont créés, ainsi que les autres actions requises, puisfermez l'événement notable.
15
Utilisez les résultats du rapport à des fins de référence et d’investigation. Vous pouvez envoyer le fichier .csv deshôtes et les noms de fichiers à l'équipe qui surveille les terminaux.
Résumé de la découverte de malware
Grâce aux données fournies par le serveur proxy, Splunk Enterprise Security a créé des événements notableslorsque des hôtes ont demandé des téléchargements à partir d'un domaine suspect. Les événements notables ontfourni un point de départ à l'investigation et intégraient les champs les plus pertinents à examiner. En triant lesdonnées et en pivotant sur ces champs, un analyste a généré une collection de rapports qui a exposé les hôtesinternes impliqués, les domaines qui pouvaient être mis sur liste noire et les noms de fichier courants sous lesquelsles malware se présentent. Lorsque l'assainissement débute, l'investigateur dispose de toutes les informationscritiques pour agir contre la menace.
Utiliser les données DNS pour identifier le patient zéro d’un malware
Les attaques de malware peuvent immobiliser les systèmes informatiques d'une organisation. L’identification rapidedu « patient zéro » vous permet de contenir à temps l'épidémie, d’éliminer les virus de cette machine tout en évitantune réinfection, et d'en savoir plus sur l'application et/ou les fichiers qui ont propagé ce malware. Ce cas d'usagevous guidera tout au long de l'utilisation des données de Splunk Enterprise Security et DNS (système de nom dedomaine) pour identifier le patient zéro en cas d'infestation dans votre environnement.
Conditions requises
Ce cas d'usage repose sur les sources de données suivantes ingérées dans la plate-forme Splunk, conformémentaux modèle d'information commun de Splunk :
Informations sur les actifs dans la lookup d'actifs. Consultez Ajout de données d'actifs et d'identités à SplunkEnterprise Security dans Administration de Splunk Enterprise Security.Journaux anti-malware du terminal, normalisés selon le modèle de données MIC malware. Par exemple, lesdonnées du serveur Trend Micro OfficeScan, qui peuvent être ajoutées à Splunk Enterprise Security à l'aidede TA-trendmicro, inclus dans ES. Consultez Installation et déploiement d'extensions dans le Manueld'installation et de mise à niveau.Données de lookup DNS normalisées selon le modèle de données MIC Résolution réseau. Par exemple, desdemandes DNS collectées par Splunk Stream. Consultez Installation et déploiement d'extension dans leManuel d'installation et de mise à niveau pour plus de détails sur l'intégration d'Enterprise Security dansSplunk Stream.Journaux d'activité de navigation Web normalisés selon l'objet Proxy du modèle de données CIM Web.
Évaluer l'état actuel des incidents de sécurité
Examinez les événements notables identifiés par Splunk Enterprise Security pour connaître l'état actuel desmenaces dans votre environnement.
1. Connectez-vous à Splunk Enterprise Security et affichez le tableau de bord Examen des incidents.2. Filtrez les événements notables par urgence, en affichant uniquement les événements Élevé et Critique dans
le domaine de sécurité Terminal.3. Choisissez l'un des événements Hôte élevé ou critique avec malware détecté pour enquêter.
16
4. Ouvrez les détails de l'événement. La Signature du malware est TSPY_FAKEMS.C, une définition de virusfournie par TrendMicro.
5. Exécutez une Recherche des événements notables sur la signature à l'aide des actions de champ. La recherche d'événements notables ouvre Examen des incidents, centré sur les événements dont lasignature de malware est TSPY_FAKEMS.C. L'un des événements remarque une Épidémie détectée deTSPY_FAKEMS.C. Cet événement est créé lorsque plus de 10 hôtes présentent une infection de malwareportant cette signature.
6. Après avoir identifié l'épidémie, ouvrez une investigation à partager avec d'autres analystes. Sélectionnez lesévénements notables correspondants et cliquez sur Ajouter à l'investigation.
7. Donnez à l’investigation un nom tel que Épidémie du malware TSPY_FAKEMS.C et ajoutez d'autresanalystes comme collaborateurs afin qu'ils puissent voir les progrès de votre investigation.
8. Les analystes de niveau 1 commencent à éradiquer l'épidémie de malware.1. Affectez l’événement notable d’un hôte infecté à un analyste de niveau 1.2. L'analyste de niveau 1 prélève une image du disque dur à des fins d’enquête, puis fait réinstaller une
image propre sur la machine.3. À mesure de la progression du nettoyage, l'analyste de niveau 1 met à jour l'état des événements
notables en conséquence.9. L'analyste de niveau 2 continue à enquêter en profondeur sur l'épidémie de malware.
Exécuter une recherche externe sur la signature du malware
Une recherche externe peut vous aider à déterminer des indicateurs supplémentaires d'éléments compromispropres à la signature de ce logiciel ou d'en savoir plus sur les alias et les groupes de menaces associés à celogiciel.
1. L'analyste de niveau 2 enquête et découvre que la signature du malware TSPY_FAKEMS.C est un aliasd'une autre signature de malware que Microsoft identifie sous le nom Trojan:Win32/Foosace.J!dha.
2. Une autre recherche sur le malware Win32/Foosace montre qu'il est associé à un adversaire avancé identifiépar Microsoft sous le nom STRONTIUM.
3. Vous déterminez que le groupe STRONTIUM est connu pour utiliser les domaines malwarecheck.info etsoftupdates.info pour des opérations de commande et contrôle.
4. Enquêtez sur ces domaines pour voir s'ils appartiennent à votre environnement.
Enquêter en profondeur sur l'épidémie à l'aide des données de DNS
Recherchez les requêtes DNS portant sur des domaines de commande et contrôle. Les chasseurs utilisent souventles tableaux de bord DNS inclus dans « Renseignement sur les protocoles » d'Enterprise Security dans ce but.
1. Sélectionnez Menaces avancées > Renseignement sur les protocoles > Recherche DNS.2. Saisissez le domaine générique *malwarecheck.info dans le filtre Requête.3. Sélectionnez la plage temporelle 30 derniers jours.4. Cliquez sur Envoyer pour lancer la recherche.5. Les résultats de la recherche affichent les requêtes DNS pour le domaine malwarecheck.info.6. Ouvrez Rechercher et exécutez la recherche suivante pour déterminer si les requêtes DNS de
malwarecheck.info sont corrélées avec l'épidémie de malware.
tag=dns query=malwarecheck.info [search tag=malware tag=attack signature="TSPY_FAKEMS.C" | eval src=dest |
fields src]
Les résultats de la recherche confirment que les hôtes du terminal associés à l'épidémie de malware sontinfectés par celui-ci et qu'ils exécutent également des requêtes sur le domaine malwarecheck.info qui opèrecomme un serveur de commande et contrôle.
7. Utilisez la Barre d'investigation pour ajouter la recherche à votre investigation à partir de votre Historiquedes actions dans le Journal de l'investigateur. Cela permettra à d'autres analystes d'exécuter la mêmerecherche à l'avenir.
Localiser le patient zéro à l'aide des données DNS
Les produits antivirus des terminaux peuvent échouer à identifier les infections de malware, mais vous savezmaintenant qu'une requête DNS sur le domaine malwarecheck.info est un indicateur de compromission. Examinezles requêtes DNS sur ce domaine afin de déterminer les signes les plus précoces de l'infection dans votreenvironnement, même pour des hôtes sur lesquels l'antivirus n'a pas identifié d'infection.
1. Dans le tableau de bord Rechercher, lancez une nouvelle recherche pour déterminer quelles machines, endehors de celles qui ont été signalées par l’antivirus du terminal, exécutent des requêtes DNS pour ledomaine malwarecheck.info.
17
tag=dns query=malwarecheck.info NOT [search tag=malware tag=attack signature="TSPY_FAKEMS.C" | eval src=dest |
fields src] | stats count by src]
Les résultats de la recherche montrent une activité provenant d'un hôte unique effectuant une lookup de DNSsur le domaine malwarecheck.info plusieurs heures avant la première alerte d'un antivirus.
2. Ajoutez l'événement démontrant cette activité de l'hôte unique à votre investigation, à l'aide des actionsd'événement.
3. Ajoutez la recherche à votre investigation à partir de votre Historique des actions.4. Ajoutez une note à l'investigation indiquant que la machine infectée a effectué des requêtes DNS pour le
domaine malwarecheck.info.
Terminer l’investigation et remédier à l'épidémie de malware
Identifiez le patient zéro et prenez des mesures d'assainissement. Après avoir identifié les requêtes DNS sur ledomaine malwarecheck.info comme un indicateur de compromission, vous savez que la première machine à avoirétabli le contact avec ce domaine était à l'origine de l'épidémie de malware : patient zéro.
1. Ajoutez une note à votre investigation pour indiquer vos conclusions.2. Indiquez aux analystes de niveau 1 de prélever une image de la machine puis de l'effacer afin d'éliminer
l'infection du malware.
Résumé
Pour identifier le patient zéro dans l'épidémie de malware de votre environnement, vous avez commencé parexaminer les événements notables actuels pour rechercher le malware. Après avoir identifié une signatureproblématique de malware, vous avez effectué des recherches supplémentaires afin de déterminer des indicateurscomplémentaires de compromission pour vous aider à mieux identifier les hôtes infectés. Puis, vous avez utilisé lesdonnées DNS pour rechercher des requêtes DNS indiquant une activité de commande et contrôle, et localisé unhôte qui a émis une requête vers l'hôte de commande et contrôle avant que les autres hôtes ne soient infectés. Pourcontenir l'épidémie, vous avez pris une mesure visant à maîtriser cet hôte et le malware, et terminé votreinvestigation.
Rechercher des activités zero-day potentielles grâce à SplunkEnterprise Security.
Détectez une activité zero-day potentielle sur le réseau de votre organisation à l'aide de Splunk Enterprise Security.Ce scénario va vous apprendre à détecter une activité de malware pouvant indiquer une vulnérabilité zero-day et àutiliser les résultats de l'investigation afin d'améliorer la détection des menaces.
Une attaque sophistiquée utilisant un malware zero-day peut commencer par l’envoi d’un e-mail d'hameçonnageciblé contenant un malware à un destinataire cible au sein d'une organisation.
1. La cible ouvre l'e-mail et le contenu malveillant infecte son ordinateur avec le malware.2. Le malware indique ensuite à l'auteur de l'attaque qu'il est prêt pour la prise de contrôle.3. Splunk Enterprise Security identifie le malware sur l'ordinateur et les analystes de sécurité commencent à
enquêter.4. Les analystes de sécurité procèdent à un examen scientifique basé sur l'hôte de la machine et identifient le
malware qui utilise une vulnérabilité zero-day.5. Les analystes de sécurité utilisent les résultats de l'expertise pour identifier des indicateurs communs de la
menace, tels que des hashes de malware et des listes de domaines malveillants.6. Les analystes de sécurité ajoutent les indicateurs de menace du malware à Splunk Enterprise Security.
Source de données requises
Ce cas d'usage repose sur les sources de données suivantes correctement ingérées dans la plate-forme Splunk,conformément aux modèles d'information commun de Splunk :
Informations sur les actifs dans la lookup d'actifs. Consultez Ajout de données d'actifs et d'identités à SplunkEnterprise Security dans Administration de Splunk Enterprise Security.Un ou plusieurs fils de renseignements sur les menaces. Splunk Enterprise Security dispose de plusieurs filsde renseignements sur les menaces inclus. Consultez Configuration de ces sources de renseignements surles menaces incluses dans Splunk Enterprise Security dans Administration de Splunk Enterprise Security.Données DNS (domain name system) normalisées selon le modèle de données MIC Résolution réseau. Parexemple, des demandes DNS collectées par Splunk Stream. Consultez Installation et déploiementd'extension dans le Manuel d'installation et de mise à niveau pour plus de détails sur l'intégration d'EnterpriseSecurity dans Splunk Stream.Journaux d'activité de navigation sur le Web ou de proxy normalisés selon l'objet Proxy du modèle de
18
données CIM Web.Journaux d'activité des pare-feu normalisés selon le modèle de données MIC Trafic réseau.Journaux Active Directory (AD) normalisés selon le modèle de donnée Authentification.Journaux d'audit et du système provenant des serveurs de bases de données, normalisés selon l'un desmodèles de données MIC correspondants, tels que Base de données, Analyse des modifications ouAuthentification.
Examen du comportement à risque des hôtes dans votre environnement
Évaluez la position de risque devotre environnement afin de déterminer si des hôtes affichent un comportement àrisque qui pourrait induire une menace supérieure pour votre réseau par rapport aux autres.
1. Sélectionnez Renseignement de sécurité > Analyse des risques pour ouvrir le tableau de bord Analysedes risques.
2. Examinez le Score de risque par objet pour identifier les autres présentant des scores de risque élevés. Vous avez remarqué que l'hôte 10.11.20.87 présentant un score de risque de 800 et un nombre de16 événements associés est l'un des systèmes les plus à risque dans votre environnement.
3. Pour voir quels types de source contribuent à un risque accru pour cet hôte, examinez les Derniersmodificateurs de risque. Vous voyez une source de Menace - Activités menaçantes détectées - Règle, cequi signifie que ces renseignements sur la menace corrélés à cet hôte sont à l'origine du score de risqueélevé de l'hôte.
4. Pour avoir une image plus nette de la position générale de risque de ce système, filtrez le tableau de bordAnalyse des risques sur le risk_object hôte 10.11.20.87 au cours des 30 derniers jours.
5. Une analyse visuelle de l'Historique des modificateurs de risque de votre environnement montre un grandnombre de modificateurs de risque pour cet hôte depuis plusieurs semaines et une résurgence desmodificateurs de risque au cours des deux derniers jours. Vous décidez d'enquêter sur ce pattern dans letableau de bord Examen des incidents pour voir les types d'événements notables qui sont générés pour cethôte.
Enquêter sur le risque de menace d'un hôte à haut risque
Enquêtez sur les événements notables passés associés à l'hôte à haut risque pour mieux évaluer le risque pourvotre environnement.
1. Ouvrez Examen des incidents et recherchez src=10.11.20.87 sur les 30 derniers jours pour voir les typesd'événements notables associés à cet hôte à haut risque.
2. Vous voyez plusieurs événements notables associés à cet hôte qui ont été créés et fermés dans le passé,mais aucun nouvel événement notable.
3. Développez les détails d’un événement notable Hôte de priorité élevé ou critique avec malware détecté.Cet hôte est marqué comme actif de priorité élevée ou critique dans votre environnement, ce qui indique qu'ilpeut contenir des données sensibles ou être utilisé par des administrateurs.
1. Examinez l'Historique et cliquez sur Afficher toutes les activités d'examen pour cet événementnotable pour voir les mesures prises par les analystes lorsque la machine a été infectée.
2. Si nécessaire, examinez votre système de tickets pour déterminer quelles étapes d'assainissementl'assistance a appliquées au moment de l'infection.
4. Développez les détails d'un autre événement notable, Activités menaçantes détectées. Vous voyez ledomaine Destination micros0ft[.]com, qui ressemble de manière suspecte à Microsoft.com.
1. Vous pouvez examiner la Description de la menace et le Groupe de menaces pour en savoir plus surle domaine et la menace qu'il représente.
2. Déterminez ce que les autres, sur le Web, partagent à propos de ce domaine. Dans les actions duchamp Destination, sélectionnez Google micros0ft[.]com. Examinez les résultats de la recherchepour trouver des sources fiables évoquant une activité liée à ce domaine.
3. Revenez à l'événement notable et enquêtez sur les enregistrements whois du domaine. Dans lesactions du champ Destination, sélectionnez Dossier du domaine. Examinez le propriétaire dudomaine, le registraire et la date d'enregistrement pour rechercher des valeurs suspectes
5. Revenez dans Splunk Enterprise Security pour poursuivre l'investigation sur le domaine. SélectionnezRenseignement de sécurité > Intelligence Web > Analyse des nouveaux domaines et recherchez ledomaine micros0ft[.]com comme type Récemment observé.
6. D'après les informations whois que vous recueillez, parce que le domaine a été récemment observé dansvotre environnement, le domaine a été récemment enregistré et l'activité de menace est associée audomaine ; vous pouvez en conclure que le domaine est vraisemblablement malveillant.
Ouvir une investigation pour suivre votre travail
1. Dans le tableau de bord Examen des incidents, sélectionnez les événements notables qui correspondent àvotre investigation, puis sélectionnez Ajouter les éléments sélectionnés à l'investigation.
2. Démarrez une nouvelle investigation et nommez-la Activité de domaine malveillant sur l'hôte 10.11.20.87.
19
3. À l'aide de la barre d'investigation, ajoutez votre historique d'actions provenant des tableaux de bord Analysedes risques, Examen des incidents et Activité des nouveaux domaines à l'investigation, depuis votrejournal investigateur.
4. Ajoutez des notes à propos des résultats de votre recherche Google et des étapes d'investigation de dossierdu domaine en incluant les liens vers les articles correspondants et une capture d'écran de l'enregistrementwhois.
Procéder à une investigation scientifique sur l'hôte
Vous avez déterminé que micros0ft[.]com est un domaine malveillant. Exécutez une investigation scientifique surl'hôte pour identifier le malware zero-day qui a échappé au logiciel de détection terminal. Une investigationscientifique consiste par exemple à rechercher des programmes injecteurs de malware, des malware similaires etdes mentions de serveur de commande et contrôle intégrés dans les fichiers. Une fois l'investigation scientifiqueterminée, collectez les informations relatives au malware qui permettront de l'identifier à l'avenir. Les adresses IPinterrogées, les domaines et les hashes de fichiers MD5 des fichiers du malware sont couramment utilisés pouridentifier un malware.
Détection de futures menaces à partir de ce zero-day
Configurez Splunk Enterprise Security pour détecter des menaces liées à cette vulnérabilité malveillante à l'avenir.Ajoutez le hash du fichier du malware et les adresses IP à une source de menaces locale de Splunk EnterpriseSecurity pour détecter les hôtes compromis.
1. Dans la barre de menu d'Enterprise Security, sélectionnez Configurer > Enrichissement des données >Listes et lookups.
2. Recherchez la lookup Renseignements locaux sur les IP et cliquez sur le nom de la lookup pour l'ouvrir.3. Saisissez la description « Adresses IP potentielles de malware zero-day ».4. Ajoutez les adresses IP indicatrices à la lookup. Cliquez avec le bouton droit et sélectionnez Insérer une
ligne en dessous pour ajouter de nouvelles lignes au besoin5. (optionnel) Saisissez une Pondération numérique pour modifier le score de risque des objets associés aux
indicateurs sur cette source de renseignements sur les menaces.6. Cliquez sur Enregistrer.
Répétez ces étapes pour la lookup Renseignements locaux sur les fichiers pour ajouter les hashes des fichiersdu malware.
Identification de vulnérabilités zero-day supplémentaires
Utilisez les nouveaux indicateurs de menace que vous venez d'ajouter pour identifier les compromissionsprécédentes relatives à cette attaque zero-day.
1. Ouvrez le tableau de bord Activité des menaces.2. Filtrez le tableau de bord pour afficher uniquement les menaces avec un Groupe de menaces local_ip_intel
ou local_file_intel.3. Choisissez une plage temporelle dans laquelle effectuer les recherches et cliquez sur Envoyer.4. Examinez les résultats dans le panneau Historique des activités menaçantes. Enquêtez de manière plus
approfondie sur les résultats des menaces dans le panneau Détail des activités menaçantes.5. Utilisez threat_match_value pour identifier l'indicateur de compromission associé à l'hôte.
Continuez votre investigation avec les nouvelles informations de l'hôte ou recherchez des hôtes supplémentairesassociés avec davantage de sources Groupe de menaces vous avez créées.
Résumé de l'investigation zero-day
Pour identifier l'activité d'un malware zero-day, commencez par examiner les hôtes à haut risque de votreenvironnement dans le tableau de bord Analyse des risques. Examinez l'activité passée du malware et desmenaces associées à ces hôtes dans le tableau de bord Examen des incidents, puis enquêtez sur les domainessuspects avec les actions de champ et le tableau de bord Analyse des nouveaux domaines. Gardez la trace devotre travail sous la forme d’une investigation et procédez à une investigation scientifique sur l'hôte pour rassemblerles hashes de fichiers importants et déterminez si l'activité du malware et le domaine suspect sont associés à unevulnérabilité jour zéro. Enfin, utilisez les résultats de l'investigation scientifique pour ajouter les renseignementsdans le framework Renseignement sur les menaces de Splunk Enterprise Security et suivre les vulnérabilitésfutures et passées associées à cette activité zero-day.
20
Identification d'une activité suspecte
Utiliser Enterprise Security pour rechercher une fuite de données
Enterprise Security fournit des statistiques et des événements intéressants sur des tableaux de bord spécialisésdans différents domaines de sécurité. L'utilisation simultanée de plusieurs tableaux de bord vous permet de créerun workflow pour enquêter sur les menaces en examinant les résultats, en isolant les événements qui nécessitentvotre attention et en utilisant des informations contextuelles fournies pour analyser le problème en profondeur.
Conditions requises
Vérifiez qu'une instance de la plate-forme Splunk avec Splunk Enterprise Security est installée et configurée.Vérifiez que ces modèles de données MIC contiennent des données : Trafic réseau, Résolution réseau, E-mail et Web. Les sources de données comprennent les journaux de proxy Web ou de pare-feu de nouvellegénération (NGFW), les journaux Splunk Stream, Bro, Exchange, Sendmail et DNS.Vérifiez que Splunk App for Stream est installé et que l'extension Splunk Stream est configurée.
Démarrage avec Examen des incidents
Enterprise Security comprend des recherches de corrélation qui signalent les activités suspectes sur différentsdomaines de sécurité. Certains chemins courants d'exfiltration des données sont surveillés par les recherches decorrélation.
Recherche decorrélation
Description Modèles de données :Sources
Activité de portnon approuvédétectée
Détecte l'utilisation de ports qui ne sont pas approuvés. Ladétection des ports non approuvés est utile pour la détection del'installation d'un nouveau logiciel (potentiellement nonapprouvé) ou de la compromission réussie d'un hôte (présenced'un backdoor ou d'un système communiquant avec un botnet).
Sources renseignant lemodèle de donné Traficréseau : Splunk Stream,trafic du pare-feu, Bro, etc.
Grand volumed’activité e-mailconcernant desdomaines horsentreprise parl'utilisateur
Alerte en cas de grand volume d'activité e-mail provenant d’unutilisateur et adressé à des domaines hors entreprise.
Sources renseignant lemodèle de donné E-mail :Splunk Stream, Bro,Exchange, Sendmail, etc.
Un hôte envoieune quantitéexcessive d’e-mails
Alerte lorsqu'un hôte non désigné comme serveur demessagerie envoie une quantité excessive d'e-mails à un ouplusieurs hôtes cibles.
Sources renseignant lemodèle de donné E-mail :Splunk Stream, Bro,Exchange, Sendmail, etc.
Requêtes DNSexcessives
Alerte lorsqu'un hôte commence à envoyer un trop grandnombre de requêtes DNS
Sources renseignant lemodèle Résolution deréseau : Splunk Stream,Bro, Microsoft DNS, bind,Infoblox, etc.
Augmentationsignificative del'activité d'unport
Alerte en cas d’augmentation statistiquement significative desévénements sur un port donné.
Sources renseignant lemodèle de donné Traficréseau : Splunk Stream,trafic du pare-feu, Bro, etc.
Chargementsweb vers dessites horsentreprise pardes utilisateurs
Alerte en cas de grand volume de chargements web provenantd’un utilisateur et adressé à des domaines hors entreprise.
Sources renseignant lemodèle de donné Web :journaux de proxy Web,pare-feu de nouvellegénération (NGFW), etc.
Informationspersonnellementidentifiablesdétectées
Détecte les informations personnellement identifiables (IPI)sous la forme de données de cartes de paiement dans desdonnées générées par une machine. Certains systèmes ouapplications incluent par inadvertance des informationssensibles dans les journaux, les exposants ainsi de manièresimprévues.
Aucun modèle de donnéesspécifique : fichier desjournaux système, fichierdes journaux d'application,charge utile de traficréseau, etc.
21
Affecter les événements notables pour investigation
1. Dans la barre de menu d'Enterprise Security, sélectionnez Examen des incidents.2. Utilisez l'option Rechercher dans le tableau de bord Examen des incidents pour rechercher un événement
notable particulier.3. (optionnel) Modifiez la priorité de l'événement notable en modifiant l'Urgence avant de l'affecter.4. Affectez un événement notable à un analyste pour examen et investigation.
Pendant que les analystes examinent tous les événements notables représentant des tentatives possiblesd'exfiltration de données, vous pouvez enquêter sur d'autres panneaux du tableau de bord pour chercher dessignes d'un comportement anormal.
Examiner le tableau de bord Activité des utilisateurs
Le tableau de bord Activité des utilisateurs affiche des panneaux représentant des activités à risque courantes.
1. Dans la barre de menu d'Enterprise Security, sélectionnez Renseignement de sécurité > Renseignementsur les utilisateurs > Activité des utilisateurs.
2. Consultez les indicateurs clés Volume web hors entreprise et Volume d'e-mail hors entreprise pour chercherdes preuves de changements suspects au cours des dernières 24 heures.
Chargements Web hors entreprise
Examinez le panneau Chargements Web hors entreprise pour identifier une activité suspecte impliquant lechargement de données vers des emplacements externes. Recherchez également des utilisateurs ou desidentifiants inconnus, des identités sous surveillance et de gros volumes de transfert de données indiqués dans lacolonne taille.
Activité e-mail hors entreprise
Examinez le panneau Activité e-mail hors entreprise pour rechercher des e-mails de taille anormalementimportante vers des adresses hors de l'organisation. Recherchez également des noms d'utilisateur peu communs,des identités sous surveillance, des messages volumineux ou un grand nombre de petits messages.
Si vous trouvez une activité suspecte, créez un événement notable et affectez-le à un analyste en vue d'uneinvestigation. Continuez à rechercher dans les autres tableaux de bord des indices de compromission.
Examiner le tableau de bord Activité e-mail
Le tableau de bord Activité e-mail affiche des mesures relatives à l'infrastructure de messagerie.
1. Dans la barre de menu d'Enterprise Security, sélectionnez Renseignement de sécurité > Renseignementsur les protocoles > Activité e-mail.
Top des sources d’e-mails
Examinez le panneau Top des sources d'e-mails pour rechercher des pics du nombre d'e-mails par adresse IP.Recherchez des adresses inconnues qui envoient de grands nombres de messages. Utilisez les sparklines pouridentifier des pics réguliers d'activité provenant d'un hôte, car cela peut être un indicateur d'une activité automatiséeou scriptée.
Sur un panneau avec des résultats de recherche denses et de nombreux champs, utilisez l'icône Ouvrir dans larecherche, dans le coin inférieur droit, pour ouvrir les résultats dans une vue de recherche distincte.
E-mails volumineux
Examinez le panneau E-mails volumineux et recherchez les e-mails d'une taille supérieure à 2 Mo qui ont étéenvoyés à des adresses internes ou externes.
Sélectionnez un enregistrement sur l'un des panneaux pour accéder au tableau de bord Recherche e-mail où vouspourrez continuer à enquêter sur le trafic des e-mails. Si vous trouvez une activité suspecte, créez un événementnotable et affectez-le à un analyste en vue d'une investigation.
Examiner le tableau de bord Activité DNS
Le tableau de bord Activité DNS affiche des mesures relatives à l'infrastructure DNS.
22
1. Dans la barre de menu d'Enterprise Security, sélectionnez Renseignement de sécurité > Renseignementsur les protocoles > Activité DNS.
Requêtes par domaine
Examinez le panneau Requêtes par domaine pour rechercher des domaines inconnus ayant reçu un grandnombre de requêtes provenant d'hôtes internes. Vous constatez un grand nombre de requêtes DNS pour des sous-domaines de â dataker.châ , et choisissez de commencer par examiner le trafic DNS en premier lieu. Sélectionnezun enregistrement dans le panneau Requêtes par domaine pour accéder à la page Recherche DNS.
Poursuivre l’exploration sur le tableau de bord Recherche DNS
Une nouvelle fenêtre de navigateur s'ouvre dans le tableau de bord Recherche DNS et commence la recherche surle domaine et la période sélectionnés. Vous pouvez déterminer que la src_ip de toutes les requêtes se trouve dansla plage des bureaux de l'entreprise. Utilisez le filtre Source pour restreindre la recherche à un sous-réseau. Enobservant les événements, vous constatez un trafic volumineux qui comprend des sous domaines encodés enbase64.
L'utilisation de requêtes DNS avec des informations encodées est une méthode connue pour exfiltrer des données.Mais vous ne savez pas si cette opération est initiée par un malware sur la machine d'un utilisateur innocent ou s’ils'agit d'une menace interne. L'examen de la machine peut apporter une certaine lumière.
1. Sélectionnez un événement brut dans le tableau de bord Recherche DNS .2. Utilisez la flèche à gauche pour développer les résultats du champ.3. Recherchez le champ src et ouvrez le menu Actions.4. Sélectionnez Centre des actifs.
Examen de l'actif dans le centre des actifs
Le tableau de bord Centre des actifs fournit des valeurs connues pour un actif spécifié. La machine responsable del'envoi de requêtes DNS chiffrées est présentée comme un poste de travail standard. Comme les détails de l'actifn'ont pas fourni d'indice supplémentaire, vous pouvez choisir de continuer l'investigation en postulant une menaceinterne. Vous vous attendez à trouver sur la machine un malware utilisé pour exfiltrer les données, mais le suivi del'activité de l'utilisateur constitue une étape préventive appropriée. Créons un nouvel événement notable poursuivre notre investigation.
Créer un nouvel événement notable
Dans la barre de menu d'Enterprise Security, ouvrez Configurer > Gestion des incidents et sélectionnez Nouvelévénement notable.
Champ Détails
Titre Exfiltration possible de données : <Actif>, <Utilisateur>, <Date>
Domaine Menace
Urgence Critique. Cette investigation est de priorité majeure.
Propriétaire <ANALYSTE>
Statut En cours
DescriptionPossibilité d’exfiltration des données via DNS. Commencez une surveillance renforcée de<Utilisateur>, de ses contrôles d'accès et de <Actif>. Informez le responsable des SecOps et lesRH d'une possible menace interne.
Après la mise à jour et l'affectation de l'événement notable, observons le réseau pour rechercher des données DNSchiffrées.
Utiliser Splunk Stream pour capturer un DNS
L'observation du trafic réseau pour déterminer si des requêtes DNS comprennent des données chiffrées nécessiteun outil pour surveiller et trier les données avant de fournir les résultats à Enterprise Security.
Splunk propose Splunk Stream comme méthode préférée de capture du trafic DNS chiffré sur le réseau.Développons une recherche exploitant les résultats de Stream. Commencez par utiliser le serveur de déploiementpour installer l'extension Stream sur la machine. L'extension observe le trafic réseau et envoie les données DNS à
23
Enterprise Security en vue d'une évaluation.
Recherche de données chiffrées dans le DNS
Dans la barre de menu d'Enterprise Security, ouvrez Rechercher et sélectionnez Rechercher.
Maintenant que l'extension Stream est en train de capturer les données du DNS, nous avons besoin d'unerecherche pour trouver le contenu chiffré en Base64 dans des requêtes DNS. L'objectif est d'examiner le champ desrecherches DNS du flux de données pour trouver des flux de sous domaines qui contiennent uniquement descaractères valides en Base64.
sourcetype="stream:dns" (message_type=RESPONSE OR message_type=TXT) | rex field=query "(?<subdomain>.*?)\..*" | regex subdomain="^(([A-Za-z0-9+/]{4})+)$|^([A-Za-z0-9+/]{4})+(([A-Za-z0-9+/]{2}[AEIMQUYcgkosw048]=)|([A-Za-z0-9+/][AQgw]==)).*$" | stats count by subdomain
La requête peut renvoyer des faux positifs si le sous-domaine contient un nombre de caractères divisibles par 4 etne contient que des caractères alphanumériques. Les résultats de la recherche doivent être inspectés visuellementpar un analyste.
Résumé de l'exfiltration des données
Les événements notables générés par Splunk Enterprise Security ont fourni un point de départ pour l'investigationen détectant les sources courantes de comportement suspect. Les tableaux de bord Utilisateur et Activité e-maildévoilent des transferts de données récurrents ou importants vers des domaines connus ou non. L'extensionStream permet de capturer et de filtrer les données du réseau à partir des hôtes internes. Grâce à l’utilisation desoutils et des recherches fournis avec ES, un investigateur peut contrôler les chemins courants d'exfiltration dedonnées et établir une surveillance active des machines compromises.
Surveiller les comptes privilégiés pour détecter les activitéssuspectes
Utilisez Splunk Enterprise Security pour identifier, rechercher et signaler les activités des utilisateurs ayant descomptes privilégiés, et protéger votre environnement des attaquants malveillants. Les comptes privilégiés sont descomptes utilisateur ou système possédant des privilèges élevés, tels que des droits d'administration de domaine oudes privilèges racine. Un pirate qui accède aux identifiants d'un utilisateur privilégié peut contrôler l'infrastructured'une organisation et modifier les paramètres de sécurité, exfiltrer des données, créer des comptes utilisateurs etplus encore. Sous des identifiants d'accès de compte privilégié, ses activités semblent plus légitimes et sont plusdifficiles à détecter. Les pirates tentent d'obtenir un accès à des comptes privilégiés en utilisant des techniquesd'ingénierie sociale, des messages d'hameçonnage, des malware ou des attaques par passage de hash.
Conditions requises
Une instance de la plate-forme Splunk avec Splunk Enterprise Security installée et configurée.Une lookup d'identités contenant des comptes utilisateur avec un champ de catégorie category=privileged.Utilisez cette recherche pour afficher les comptes utilisateur :
| datamodel "Identity_Management" High_Critical_Identities search |stats count by All_Identities.identity
Identifier les comptes utilisateurs privilégiés
Pour surveiller l'activité des comptes privilégiés et identifier des actions suspectes pouvant suggérer qu’unagresseur se déplace dans le réseau, définissez des comptes privilégiés dans votre lookup d'identité à l'aide duchamp Catégorie. Vous pouvez utiliser une recherche avec la commande ldapsearch pour renseigner identity.csvavec des utilisateurs privilégiés.
1. Créez une lookup d'identités qui comprend des utilisateurs ayant des privilèges Administrateur de domaineou qui figurent dans le groupe VIP.
2. Modifiez l'exemple de recherche ci-dessous en fonction de votre environnement ou créez la vôtre. Cet exemple de recherche prend les utilisateurs membres du groupe Administrateurs de domaine ou VIP etles ajoute à la catégorie privilégiée. Selon votre environnement, vous pouvez modifier la recherche pour vousconcentrer sur des unités organisationnelles (UO) plutôt que sur l'appartenance à un groupe.
| ldapsearch domain=Acme search="(&(objectclass=user)(!(objectClass=computer)))" | eval suffix="" | eval
priority="medium" | eval category="normal" | eval watchlist="false" | eval endDate="" | eval
category=case(match(memberOf, "(?i)^.*?Domain\sAdmins?.+"),"privileged", match(memberOf, "(?i)^.*?VIP?.+"),
"privileged") | table sAMAccountName,personalTitle,displayName,givenName,sn,suffix,mail,
telephoneNumber,mobile,manager,priority,department,category,watchlist,whenCreated,endDate | rename sAMAccountName as
identity, personalTitle as prefix, displayName as nick, givenName as first, sn as last, mail as email,
24
telephoneNumber as phone, mobile as phone2, manager as managedBy, department as bunit, whenCreated as startDate
|outputlookup my_identity_lookup
Découvrez-en plus sur le champ de la lookup Catégorie dans Formatage d'une liste des actifs ou des identitéscomme une lookup dans Splunk Enterprise Security dans Administration de Splunk Enterprise Security. Pourajouter une nouvelle lookup d'identité, consultez La configuration de la nouvelle liste d'actifs ou d'identités dansSplunk Enterprise Security dans Administration de Splunk Enterprise Security.
Analyser l'activité actuelle des comptes privilégiés
Splunk Enterprise Security comprend deux rapports qui décrivent l'activité des utilisateurs privilégiés. Examinez-lespour déterminer l'état actuel de l'utilisation des comptes privilégiés dans votre environnement.
1. Dans la barre de menu de Splunk Enterprise Security, sélectionnez Rechercher > Rapports.2. Dans le filtre, saisissez le mot privileged pour localiser les rapports des utilisateurs privilégiés.3. Cliquez sur le rapport Accès - Utilisation des comptes privilégiés dans le temps pour l'ouvrir et examinez
le nombre total d'événements dans le temps qui comprenaient un compte privilégié afin de connaître lepattern de l'utilisation normale d'un compte privilégié et d’identifier une activité inhabituelle ou imprévue.
4. Cliquez sur le rapport Accès - Comptes privilégiés utilisés pour l'ouvrir et examinez les comptes privilégiésutilisés pendant la période sélectionnée, ainsi que le nombre de fois où ils ont été utilisés pour se connecter,afin d’identifier les comptes rarement utilisés qui ont eu une activité anormalement élevée. Vous pouvez remarquer que le compte de l'administrateur de domaine bob s'est connecté 100 000 fois aucours des dernières 24 heures.
5. Sélectionnez Configurer > Gestion des incidents > Nouvel événement notable pour créer un événementnotable pour qu'un analyste de niveau 1 enquête.
6. Dans le nouvel événement notable, saisissez le titre L'utilisateur privilégié bob s'est connecté100 000 fois en 24 heures.
7. Réglez l'Urgence sur Critique.8. Affectez l'événement notable à un analyste de niveau 1.9. L'analyste de niveau 1 enquête sur bob et détermine qu'il s'agit d'un compte d'administration utilisée pour
exécuter des scripts, de sorte que les authentifications sont légitimes.
Configurer un tableau de bord pour surveiller des comptes privilégiés
Pour permettre aux analystes de sécurité d’examiner et surveiller plus facilement les comptes utilisateursprivilégiés, créez un tableau de bord des comptes privilégiés provenant des deux rapports.
1. Sélectionnez Rechercher > Rapports et filtré selon privilégié pour voir les rapports des comptes privilégiés.2. Cliquez sur le titre pour afficher le rapport Accès - Comptes privilégiés utilisés.3. Cliquez sur Ajouter au tableau de bord et sélectionnez un Nouveau tableau de bord.4. Saisissez le Titre du tableau de bord des Comptes privilégiés. L'ID du tableau de bord est
automatiquement configuré.5. Pour Permissions du tableau de bord, sélectionnez Partagé dans l'app.6. Saisissez Comptes privilégiés utilisés comme Titre du panneau.7. Pour Panneau géré par, sélectionnez Rapport.8. Pour Contenu du panneau, sélectionnez Statistiques pour afficher les données brutes plutôt qu'un
graphique.9. Cliquez sur Enregistrer et Afficher le tableau de bord pour afficher votre création.
10. Ajoutez le rapport Accès - Utilisation des comptes privilégiés dans le temps au nouveau tableau de borden utilisant les mêmes étapes, mais sélectionnez un tableau de bord Existant des Comptes privilégiés aulieu de créer un nouveau tableau de bord.
Après avoir créé le tableau de bord, facilitez-en l’accès en l'ajoutant à la barre de menu Splunk Enterprise Security.
1. Sélectionnez Configurer > Général> Navigation pour afficher l'éditeur de navigation.2. Localisez la collection de navigation du domaine de sécurité Identité.3. Cliquez sur l'icône Ajouter une vue et sélectionnez le tableau de bord Comptes privilégiés.4. Cliquez sur Enregistrer pour enregistrer l'emplacement de navigation du tableau de bord.5. Cliquez sur Enregistrer pour mettre à jour la barre de menu.
Surveiller les comptes privilégiés à l'aide d'événements notables
Dans le cas de bob, vous avez créé manuellement un événement notable pour qu'un analyste de niveau 1 puisseenquêter sur l'activité du compte. Grâce à l'utilisation d'une recherche de corrélation, vous pouvez automatiser lasurveillance de l'activité des comptes privilégiés et générer des alertes sous la forme d’événements notables.Consultez Création de recherches de corrélation dans Administration de Splunk Enterprise Security.
Vous pouvez alerter des analystes de niveau 1 lorsqu'un compte utilisateur privilégié effectue des tentatives
25
simultanées d'accès à la même application à partir d'hôtes différents. Cette recherche crée des événementsnotables pour identifier des identifiants privilégiés potentiellement partagés. Cet exemple utilise pour cela uneversion modifiée de la recherche de corrélations Tentatives simultanées de connexion détectées.
1. Sélectionnez Configurer > Gestion du contenu.2. Sélectionnez Créer un nouveau contenu > Recherche de corrélation.3. Saisissez Identifiants partagés de compte privilégié comme Nom de la recherche.4. Utilisez la recherche suivante comme Recherche :
| datamodel "Identity_Management" High_Critical_Identities search | rename All_Identities.identity as "user"
| fields user | eval cs_key='user' | join type=inner cs_key [| tstats `summariesonly` count from
datamodel=Authentication by _time,Authentication.app,Authentication.src,Authentication.user span=1s |
`drop_dm_object_name("Authentication")` | eventstats dc(src) as src_count by app,user | search src_count>1 |
sort 0 + _time | streamstats current=t window=2 earliest(_time) as previous_time,earliest(src) as previous_src
by app,user | where (src!=previous_src) | eval time_diff=abs(_time-previous_time) | where time_diff<300 | eval
cs_key='user']
5. Saisissez une Planification cron pour la fréquence à laquelle vous souhaitez exécuter la recherche.6. Sélectionnez Ajouter une nouvelle action de réponse et sélectionnez Notable.7. Saisissez un Titre, une Description et renseignez d'autres champs importants de l'événement notable.8. Cliquez sur Enregistrer.
Résumé
Vous deviez surveiller l'activité d'un compte privilégié afin d'identifier une activité suspecte indiquant une exfiltrationde données, le mouvement latéral d'un pirate, des identifiants privilégiés partagés, et plus encore. Après avoirconfiguré les données d'identité stockées dans Splunk Enterprise Security pour classer les utilisateurs privilégiés,vous avez examiné les deux rapports de comptes privilégiés pour identifier les utilisateurs se comportantactuellement de manière suspecte. Puis, vous avez créé un tableau de bord afin d'examiner plus facilement cesrapports à l'avenir et de garder un œil sur des comptes utilisateurs tels que bob. Enfin, vous avez configuré unerecherche de corrélation afin que des analystes de niveau 1 puissent être informés en cas d'activité définitivementsuspecte, telle que des tentatives simultanées de connexion à partir d'un compte privilégié.
Surveiller les activités menaçantes dans votre environnement grâceà une glass table
Dans cet exemple, surveillez l'activité des menaces dans votre environnement en créant une glass table quivisualise et suit des indicateurs spécifiques d'activité menaçante.
Créez une glass table pour surveiller l'activité du trafic.Commencez la surveillance des indicateurs d'activité menaçante sur la glass table.Organisez visuellement les indicateurs.Surveillez les indicateurs personnalisés sur la glass table.Enregistrez et affichez la glass table.
Créer une glass table pour surveiller l'activité du trafic
1. Dans la barre de menu de Splunk ES, cliquez sur Glass Tables pour ouvrir la liste des glass tables.2. Cliquez sur Créer une nouvelle glass table.3. Saisissez Surveiller l'activité des menaces comme Titre.4. Saisissez la Description Surveiller l'activité des menaces sur le réseau. Affiche des indicateurs relatifs
aux menaces notables, aux acteurs de menaces et aux types de renseignements.5. Cliquez sur Partagé dans l'app pour autoriser les autres utilisateurs de Splunk Enterprise Security à afficher
la glass table.6. Cliquez sur Créer une glass table.7. Cliquez sur le titre de la glass table pour le modifier.
Commencer la surveillance des indicateurs d'activité des menaces sur la glass table
Après l'ouverture de la glass table à modifier, collectez les indicateurs d'activité des menaces utiles pour votre glasstable.
1. Dans la liste Indicateurs de sécurité, cliquez sur Activité des menaces2. Cliquez sur l'indicateur Activité des menaces - Nombre total et faites-le glisser sur la glass table.3. Dans le panneau Configurations, faites défiler vers le bas jusqu'à Seuils et sélectionnez Activé.4. Cliquez sur Modifier pour configurer un seuil.5. Cliquez sur Ajouter un seuil et saisissez 50 comme nombre total Moyen d’événements des activités de
26
menace.6. Répétez l'opération pour ajouter un seuil Élevé de 100 événements.7. Assurez-vous que le seuil en-dessous de moyen est configuré sur Normal.8. Cliquez sur Fait pour enregistrer les modifications du seuil.9. Cliquez sur Mettre à jour pour enregistrer les modifications de l'indicateur de sécurité.
10. Cliquez sur et faites glisser les indicateurs Activité des menaces - Catégories uniques, Activité desmenaces - Collections uniques, Activité des menaces - Correspondants uniques et Activité desmenaces - Sources uniques dans le canevas. Ne configurez pas de seuil pour les indicateurs descatégories, des sources ou des collections, car un nombre plus élevé de catégories, de sources et decollections indique uniquement qu'il y a davantage de renseignements disponibles pour vous, plutôt qu'unincident qui nécessite votre attention.
Organiser visuellement les indicateurs
Utilisez les outils d'édition du canevas de la glass table pour charger des images, dessiner des formes, ajouter desicônes, ajouter du texte et établir des connexions qui reflètent les relations entre les indicateurs de menace.
1. Cliquez sur chaque indicateur et modifiez-en la largeur et la hauteur pour leur donner la forme que voussouhaitez.
2. Dessinez des lignes entre les différents indicateurs d'activité de menace pour différencier les typesd'indicateurs.
3. Si le suivi de l'activité des menaces survient au niveau du routeur ou du pare-feu, ajoutez une icône derouteur ou de pare-feu.
Surveiller les indicateurs personnalisés sur la glass table
Ajoutez une recherche personnalisée pour suivre les indicateurs personnalisés d'activité des menaces. Voussouhaitez suivre l'activité d’un groupe spécifique de menaces, le groupe APT.
1. Dans un nouvel onglet, ouvrez le tableau de bord Rechercher et construisez une recherche ciblant le groupeAPT. Cette recherche repose sur la recherche de corrélation des activités de la liste des menaces et identifieau fil du temps les événements notables qui contiennent une activité de menace à partir du groupe demenaces APT.
`notable("Threat - Threat List Activity - Rule")` | search threat_category="APT" | stats count by
threat_category
2. Lorsque vous êtes satisfait de votre recherche, copiez-la dans le presse-papier.3. Revenez à la glass table pour ajouter une recherche ad hoc.4. Dans la liste des Indicateurs de sécurité, cliquez sur Recherche ad hoc et faites-la glisser sur la glass
table.5. Dans l'éditeur Configurations, saisissez Activité APT comme Libellé pour votre recherche ad hoc.6. Copiez la recherche que vous venez de créer et qui identifie l'activité APT par catégorie de menace dans
votre environnement.
`notable("Threat - Threat List Activity - Rule")` | search threat_category="APT" | stats count by
threat_category
7. Cliquez sur Mettre à jour pour enregistrer les modifications dans l'indicateur de recherche ad hoc.
27
Enregistrer et afficher la glass table.
Lorsque vous avez terminé la création de la glass table, vous pouvez commencer à surveiller l'activité desmenaces.
1. Cliquez sur Enregistrer.2. Cliquez sur Afficher.
Profitez de la vue.
28