Splunkで脅威ハンティング：アクティブなハンターのためのハンズオンチュートリアル

Splunkのオフィスに行けば、Splunkソリューションでいかに効果的かつ簡単に脅威を突き止められるかを自慢げに話す社員の声を耳にするかもしれません。  

それというのも、「SplunkでXとYを組み合わせてZスコアを計算すれば、ネットワーク内に怪しい奴が見つかりました」で済む話だからです(怪我人も出ません)。

少なくとも10年前、私たちはそれを何とか簡単に説明しようとしました(以下に示したリソースがそれを物語っています)。しかし、脅威ハンティングの「簡単さ」のレベルは、「フクロウを描くのは簡単だよ」と誰かに言うときと同じ程度です(簡単なわけがありません)。そのため、2017年にこのシリーズを書き始めたわけです。

今回は、皆様の脅威ハンティング能力をパワーアップしたいと思います。そこで、このシリーズの記事を1本ずつ見直して、各チュートリアルがさまざまなハンティング活動の最高の教科書になるようにアップデートしていきます。もちろん、どのハンティングでもSplunkを活用します。

チュートリアルを見る

脅威ハンティング全般について詳しく知りたい方は、この後のセクションをご覧ください。ハンティングの概要に関するリソースとこのシリーズを支えるSURGeチームについてご紹介します。

脅威ハンティングに関するリソース

改めて申し上げますが、このシリーズのテーマは、Splunkを使った脅威ハンティングです。

以下の人気のリソースと新しいリソースでは、脅威ハンティングの概要を紹介しています。Splunkを使用する場合もあれば、Splunkを使用しない場合もあります。

• セキュリティ脅威 TOP50
•  新しい記事：PEAK脅威ハンティングフレームワークシリーズ
• 内部脅威とは？
• 古いインシデント対応は終わった...新しいインシデント対応万歳！(英語)←私の長年の友人、Scott J. Roberts氏による記事です(出典：Medium社、2015年)
• DNSで既知の未知を追跡する (.conf2015プレゼンテーション：MP4、PDF) (英語)
• PowerShellで既知の未知を追跡する (.conf2016プレゼンテーション：PDF) (英語)

SURGeチームのご紹介

このシリーズを支えているのが、Splunk独自のセキュリティ調査チーム「SURGe」です。SURGeチームは、最新のサイバーセキュリティインシデントを詳しく分析して適切なセキュリティ対策を提案する専門チームです。その成果はさまざまな形でお客様に届けられます。

• 緊急対応ガイド
• 独自調査(ランサムウェアバイナリの分析やマクロレベルのATT&CK分析など)
• 週1回の「Coffee Talk with SURGe (SURGeコーヒートーク)」ライブ配信
• 月1回のお勧めセキュリティ記事紹介
• その他多数

SURGeが提供するリソースをぜひご覧ください。緊急対応アラートの受信登録もできます。

そしてお待ちかね、ハンティングチュートリアルをご紹介します！

Splunkで脅威ハンティングするためのチュートリアル

このシリーズで、Splunkを使った脅威ハンティングの基礎を固めてください。(Splunk製品をよくご存じでない場合は、SplunkのSIEMソリューション、Splunk Enterprise Securityの情報をご覧ください：製品概要 | 製品ツアー)

以下の各記事では、Splunkのサーチコマンドや脅威ハンティングの手法をひとつずつ取り上げ、基本的な情報をかみくだいて紹介しています。最終的には、組織の環境内に潜む脅威をSplunkで追跡するための総合的な知識が身に付くはずです。取り上げるトピックは、仮説生成からIDSまであらゆるものをカバーします。stats、eval、lookupsなどのSplunkコマンドについても説明します。ご質問がございましたら、遠慮なくお問い合わせください！

• ハンティングに乗り出す前の下調べ
  ^{lookupコマンドを使って気になるIOCやその他の項目をSplunkのデータセットと照合する}
• データストリームの中から島を見つけるには...(英語)
  ^{Splunk Streamを使ってネットワーク内で悪質なアクティビティを検出する}
  
• SplunkでワークフローアクションとOSINTを使って脅威ハンティング(英語)
  ^{ワークフローアクションとオープンソースインテリジェンス(OSINT)ソースの使い方}
• 伝承よりもメタデータ(英語)
  ^{メタデータとtstatsを使って状況をすばやく把握する}
• Windowsログから見えてくること：Sysmonとイベントコードを活用した脅威ハンティング
  ^{脅威ハンティングでWindowsログのSysmonデータとイベントを調べるときにまず見るべき場所}
  
• ハンティングをするならstatで！(英語)
  ^{Splunkで脅威ハンティングをするための3つのstatsコマンドの使い方}
• すぐに使える！データのフィルタリングに不可欠な3つの技法
  ^{データのフィルタリングに役立つSplunkの基本的な脅威ハンティング技法の紹介}
• 脅威ハンティングで正規表現を使用する(正規表現は意味不明な呪文ではありません！)
  ^{SPLでrexコマンドとregexコマンドを使って脅威ハンティングに必要なデータをあぶりだす}
• UTでスリザリン生のように狡猾にドメインを解析する(英語)
  ^{URL Toolboxを使ってURLとDNSクエリーをドメイン、サブドメイン、TLDなどに分解する}
• URL Toolboxを使えばハイド氏でもレーベンシュタイン博士からは隠れられない(英語)
  ^{URL ToolboxでSplunkフィールドを分析してレーベンシュタイン距離とシャノンエントロピーを求める}
• 計算も評価も分類も概算も、すべてevalにおまかせ(英語)
  ^{Splunkでevalコマンドを使ってデータを(その場で)調整し、フィールドを補強する}
• TLS/SSL証明書でハンティングという信じられない話(英語)
  ^{TLS/SSL証明書を使って高度な攻撃を追跡する}
• 未知の脅威との遭遇：Splunkで新しいドメインを検出する(英語)
  ^{Splunk (とSplunk Enterprise Security)を使って、組織にとって「未知」のドメインを検出する}
• SA-Investigatorを使用して自力で調査する(英語)
  ^{Splunk Enterprise Security向けの新しいSA-Investigatorアドオンを使ってデータモデルを詳しく調査し、ネットワークに潜む脅威を検出する}
• DNS悪用によるデータ窃取をSplunkで検出：DNSドラゴンを捕まえる
  ^{Splunkを使ってネットワーク内でDNSに関する悪質な挙動を捉える}
• 発熱にはフィードバックが効く(英語)
  ^{脅威ハンティングのフィードバックをセキュリティ運用チームに提供する}
• 新たな平原でハンティング(英語)
  ^{.conf18のBOSS of the SOC(BOTS)など、新しい環境で脅威ハンティングを行う}
• Microsoft Office 365でクラウドが広がる予報(英語)
  ^{SplunkでMicrosoft Office 365のデータを使って脅威ハンティングを行う}
• Azureの便利さは保証します(英語)
  ^{Azure Active Directoryを使った基本的な脅威ハンティングと検出}
• osqueryが生まれた11月(英語)
  ^{osqueryログを使った脅威ハンティング}
• ラテラルムーブメントの痕跡を探す(英語)
  ^{Splunkのコア機能を使って組織内でのラテラルムーブメントを特定する}
• CloudTrail - AWSのデジタル「パンくず」(英語)
  ^{AWS CloudTrailをセキュリティログツールとして使って脅威ハンティングを行う}
• Flowで行こう - AWSのネットワークテレメトリ(VPCデータ) (英語)
  ^{SplunkでAWSのVPCデータを使って脅威ハンティングを行う}
• COVIDをテーマとした攻撃をIOCで検出(英語)
  ^{クラウドソーシングのIOCをSplunkで活用する}
• プロセスでプロセスハンティング(英語)
  ^{Splunkで特定のプロセスのアクティビティと関係を追跡して脅威ハンティングの精度とスピードを上げる}
  
• autoregressで後悔しない(英語)
  ^{集中ストリーミングコマンドのautoregressionを使って移動平均を計算し、情報を収集する}
  
• パイプの音に耳を傾ける：パート1(英語)
  ^{パイプハンティング完全ガイド}
• パイプの音に耳を傾ける：パート2(英語)
  ^{まずはパート1を！パイプハンティングのパート2}

最新の脅威ハンティング手法については、E-book『PEAK脅威ハンティングフレームワーク』もぜひご覧ください。また、セキュリティ関連のホワイトペーパー、E-book、アナリストレポートなどの資料はこちらからご覧いただけます。

Splunkはセキュリティチームをいつでもサポートします。

このブログはこちらの英語ブログの翻訳、阿部 浩人によるレビューです。