Das Splunk Threat Research Team (STRT) freut sich, die Veröffentlichung der Version 3.0 von Splunk Attack Range bekannt geben zu können.
Splunk Attack Range ist ein Open-Source-Projekt für Sicherheitsteams, die damit eine Umgebung zur Erkennungsentwicklung einrichten und das Verhalten von Angreifern emulieren können. Mit den generierten Telemetriedaten lassen sich dann Erkennungen in Splunk bauen. Dieser Beitrag stellt die neuen Funktionen von Version 3.0 vor, die eure Erkennungen noch zuverlässiger und besser machen sollen.
Splunk Attack Range gibt euch diese Mittel an die Hand, neue Erkennungen zu entwickeln:
Wir haben die Build-Zeit von Attack Range von 30 Minuten auf fünf Minuten reduziert, und zwar durch vorgefertigte Images, für die wir das Tool Packer verwenden. Packer standardisiert und automatisiert die Golden-Image-Erstellung. Diese Master Images sind dann die Vorlagen für virtuelle Maschinen. Zuvor hatte es jedes Mal etwa eine halbe Stunde gedauert, bis die Erstellung einer Attack Range mit einem Splunk-Server und einem Windows-Server abgeschlossen war. Dank der vorbereiteten Packer-Images beträgt nun die Build-Zeit nur mehr fünf Minuten (oder weniger). Die Generierung eines solchen Images nimmt pro Server etwa 20 Minuten in Anspruch, muss aber nur ein einziges Mal durchgeführt werden. Danach könnt ihr neue Attack Ranges in fünf Minuten aufsetzen.
Euer Feedback hat uns gelehrt, dass Attack Range oft bei Schulungen und Workshops verwendet wird, wenn die Ausbildungsleitung Attack Ranges für die Teilnehmerinnen und Teilnehmer vorbereitet. Allerdings war es bislang nicht leicht, der Klasse Zugang zur Attack Range zu verschaffen. Durch die Integration von Apache Guacamole wird dies nun deutlich leichter. Apache Guacamole ist eine clientlose Remote-Desktop-Anwendung, die auf dem Splunk-Server installiert wird. Sie unterstützt Standardprotokolle wie SSH (Secure Shell) und RDP (Remote Desktop Protocol). Apache Guacamole wird beim Build-Prozess von Attack Range installiert und komplett konfiguriert. Ihr könnt über Port 8080 auf Apache Guacamole zugreifen und euch mit dem Attack-Range-Passwort anmelden. Anschließend bekommt ihr per Browser Zugang zum Windows-Server (mit RDP) bzw. zu sonstigen Servern (mit SSH).
Bei der Erkennung kommt es oft darauf an, ob eine bestimmte Angriffstechnik von einem bestimmten EDR-Produkt (Endpoint Detection and Response) erkannt wird. Damit sich diese Frage einfach beantworten lässt, haben wir Crowdstrike Falcon und VMware Carbon Black Cloud in die Attack Range integriert. Ihr braucht dazu gültige Lizenzen für diese Produkte. Durch die Angabe einiger Konfigurationsparameter in Attack Range könnt ihr den Agenten automatisch auf dem Windows-Server installieren und die Logs auf den Splunk-Server holen.
An einem gewissen Punkt der Entwicklung hatten wir uns entschieden, Attack Range Local als eigenes GitHub-Projekt abzuspalten. Attack Range Local erstellt eine Attack Range auf VirtualBox oder VMware Fusion, die auf eurem Rechner laufen; es nutzt Vagrant und Ansible zur Erstellung und Konfiguration.
Wir haben nun viel Feedback vonseiten der Kundschaft bekommen, dem wir entnehmen, dass Attack Range Local ausgesprochen wichtig ist. Daher haben wir beschlossen, Attack Range Local mit all seinen Funktionen in Attack Range zu integrieren. Wenn ihr den cloud_provider in der Datei attack_range.yml einfach auf local setzt, könnt ihr eine Attack Range auf eurer lokalen Workstation oder eurem Server aufsetzen.
Attack Range Cloud ist für die Entwicklung von Erkennungen bei AWS und Azure gedacht. Dabei werden die Logs der Cloud-Provider automatisch mitgenommen. Wir haben diese Funktionen nun in Attack Range integriert.
Atomic Red Team kann mit seinen Cloud-Atomics Angriffe auf eine Cloud-Umgebung emulieren. In Verbindung mit dem automatischen Onboarding der Cloud-Logs ergibt das die perfekte Umgebung zur Entwicklung von Cloud-Erkennungen. Indem wir all diese Funktionen in einem einzigen Projekt zusammenführen, könnt ihr Attack Range nun zur Erstellung von Endpunkt-, Netzwerk- und Cloud-Erkennungen verwenden.
Bei dieser Version haben wir auch die Dokumentation verbessert und dafür eine eigene Website eingerichtet, die euch den Einstieg in Attack Range erleichtern soll. Die empfohlene Installationsmethode ist die per Docker-Container. Attack Range läuft auf Mac, Windows und Linux.
Durch die vorgefertigten Packer-Images konnten wir die Build-Zeit drastisch verkürzen. Eine Attack Range aufsetzen (Build), einen Angriff simulieren und die Attack Range wieder auflösen (Destroy) ist nun etwas, das in einer Viertelstunde erledigt ist. Das bedeutet außerdem, dass wir mit Attack Range in Zukunft automatisiert Angriffsdaten erzeugen können.
Bitte lasst uns wissen, welche Merkmale und Funktionen ihr euch für Attack Range wünscht und welche Verbesserungsvorschläge ihr habt – dazu einfach im GitHub-Projekt Attack Range ein Thema starten und ein Feature-Request stellen.
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.