検出エンジニアリングチームや脅威調査チームは、潜在的な脅威を検出し対応することで組織のセキュリティを確保するという重要な役割を担っています。しかし、セキュリティインシデントが増加し、セキュリティシステムが複雑化する今日、効率的な運用が難しくなっています。このブログ記事では、Splunk脅威調査チーム(STRT)によるSplunkセキュリティコンテンツの開発アプローチについて説明し、セキュリティコンテンツとEnterprise Security Content Update (ESCU) Appを使って検出エンジニアリングを効率化する方法をご紹介します。
また、セキュリティコンテンツv4.0で導入された、脅威調査と検出エンジニアリングのプロセスを最適化するための新機能もご紹介します。ここで取り上げる戦略とベストプラクティスを実践すれば、検出エンジニアリングチームによる脅威への対応力を強化できます。検出エンジニア、セキュリティアナリスト、チームリーダーのいずれであっても、この記事をお読みになれば、検出エンジニアリングチームの効率向上に役立つヒントが見つかるはずです。
STRTの検出エンジニアリングアプローチ
STRTは、脅威の状況を常時モニタリングし、新たな脅威を特定して、Splunkのお客様を守るための新しい検出ルールを開発するエキスパート集団です。その目的を達成するために構築した検出エンジニアリングプロセスは、「脅威の調査」、「データセットの作成」、「検出ルールの開発」、「検出ルールのテスト」、「リリース」の5つのステップで構成されます。
脅威の調査
検出エンジニアリングプロセスの最初のステップは、脅威の調査です。このステップでは、脅威インテリジェンスレポートの分析、セキュリティ関連のブログやフォーラムのチェック、最新の攻撃手法に関する情報収集などを行います。これらの作業を通じて、新たな脅威を特定し、その攻撃方法を理解します。この情報は、攻撃を早期に特定して被害が生じる前に阻止するために効果的な検出ルールを開発するために非常に重要です。
データセットの作成
脅威を特定したら、次のステップはデータセットの作成です。データセットは、検出ルールの開発に役立つデータをまとめたものです。これには、ネットワークトラフィックログやエンドポイントログなど、脅威に関連するさまざまなタイプのデータが含まれます。STRTでは、Attack Rangeを使って検出エンジニアリング用のラボ環境を構築し、オープンソースのAttack Dataプロジェクトにデータセットを保存しています。また、Splunkプラットフォームの強力なサーチ/分析機能を活用して、データを解析し、脅威を検出するためのパターンを識別しています。
検出ルールの開発
データセットが準備できたら、検出ルールの開発を始めます。検出ルールは、特定の脅威に関連付けられる具体的なアクティビティを識別するためのルールやクエリーで構成されます。たとえば、ネットワークトラフィックログ内で、攻撃者が脆弱性を悪用しようとしていることを示す一連のコマンドを探すなどの機能を持ちます。検出ルールには、特定のIoC (侵害の兆候)を見つけ出すという用途が絞られたものと、特定の脅威に関連付けられる挙動パターンを探すという汎用的に使用できるものがあります。STRTのセキュリティエキスパートが作成した検出ルールはこちらで公開しています。
検出ルールのテスト
お客様へのリリース前に検出ルールをテストして、効果と精度を検証します。テストでは、攻撃者の挙動をシミュレートするテストデータセットに対して検出ルールを実行します。テスト結果をチーム内で入念に評価し、必要に応じて、検出の精度を向上させ誤検知を減らすための調整を行います。検出ルールを簡単にテストできるcontentctlを使って、お客様ご自身で試すこともできます。
リリース
検出エンジニアリングプロセスの最後のステップは、お客様への検出ルールの公開です。このステップでは、セキュリティコンテンツとして開発した一連の検出ルールを、お客様のシステムに簡単に導入できるSplunk ESCU Appとしてパッケージ化します。STRTチームはSplunkのエンジニアリングチームやサポートチームと密接に協力して、アップデートが円滑にリリースされ、お客様が新たな脅威に効果的に対応できる最新のセキュリティコンテンツをお届けできるよう全力を尽くしています。
ESCU Appにパッケージ化された検出ルールとSplunk Enterprise Securityを使用することにより、組織のセキュリティ態勢を大幅に強化して、潜在的な脅威をより効果的に阻止できます。検出ルールをすばやく簡単に導入できれば、最新の脅威に先手を打ち、被害が生じる前に潜在的な脅威に対応できます。
組織のセキュリティを強化するための包括的かつ効果的な方法をお探しであれば、STRTが開発しESCU Appにパッケージ化された検出ルールの活用をぜひご検討ください。このプロアクティブな対策は、組織のデータと資産をより確実に守るために役立ちます。
ESCU Appに含まれる1200以上の高品質な検出ルールを開発および保守するために、STRTは検出エンジニアリングアプローチを継続的に改善し、効率向上のために最適化しています。こうした取り組みの1つの成果として、Splunkはセキュリティコンテンツのバージョン4をリリースしました。
セキュリティコンテンツv4.0で導入された新機能
STRTは、ESCU Appとセキュリティコンテンツの提供を通じて、Splunkのお客様ができるだけ効果的かつ効率的に検出ルールを活用できるよう取り組んでいます。そのために可能な限りCIM (共通情報モデル)を採用しており、その点は多くのお客様から高い評価をいただいています。一方で、元のログのフィールド名を検出に使用したいお客様もいらっしゃるかもしれません。たとえば、SysmonイベントID 1のイベントのCommandLineフィールドを参照したい場合もあるでしょう。こうした要望にお応えするために、Sigmaを使って検出ロジックをさまざまな形式に変換することで、お客様が組織のニーズに最適な形式を選択できるようにしました。このアプローチにより、検出の品質を落とすことなく、CIMのメリットの維持と、元のログのフィールド名を使用できる柔軟性を両立しています。STRTは、お客様からいただいた貴重なご意見、ご要望を参考に、ユーザーエクスペリエンスの改善に継続的に取り組んでいます。
Sigmaルールのロジック
Sigmaは、関連するログイベントをわかりやすく記述できる、汎用的でオープンなシグネチャフォーマットです。これは、検出能力を育成、強化したいセキュリティ担当者にとって強力な武器になります。STRTは、セキュリティコンテンツにおいて、お客様が組織のニーズに最適な形式を選べることが重要だと考えています。そのため、ワークフローにSigmaを組み込むことで、検出ルールを異なる正規化スキーマ間で簡単に変換できるようにしました。
最新リリースのセキュリティコンテンツv4.0では、Sigmaを利用してこのプロセスを効率化しています。具体的には、Sigma形式で作成した検出ルールを、CIMを使用した検出ルールに変換できます。これにより、お客様は、Sigma形式で作成された検出ルールを使用すると同時に、手間なくCIMの構造や命名規則のメリットを活かすことができます。
次のように、Sigma形式で書かれた検出ルールを、CIMを使用した検出ルールに変換できます。
Sigma形式で書かれた同じ検出ルールを、元のフィールド名を使った検出ルールに変換することもできます。
さらに別の機能として、Sysmonイベントコード1のデータを使って開発した検出ルールを、コマンドラインのログを有効にしたWindowsイベントコード4688のデータを使った検出ルールに変換することもできます。
STRTは、最も効果的な最新のテクノロジーを取り入れて、お客様がセキュリティを向上できるよう努めています。今回のSigmaの活用は、セキュリティ脅威の検出と対応における高い柔軟性と幅広いオプションをお客様に提供します。
その他の改善点
セキュリティコンテンツv4.0以降では、すべての検出ルールに以下の改善も適用されます。
- タグセクションでのAtomic Red TeamのGUID参照:特定のアトミックのGUIDからセキュリティコンテンツ内の検出ファイル(.yml)を参照できます。
- タグセクションでの検出ルールのドリルダウンサーチ:ドリルダウンサーチにより、トリガーされたイベントの詳細を確認できます。
ぜひお試しください
すぐにでも組織のセキュリティ態勢を大幅に強化し、潜在的な脅威をより効果的に阻止しましょう!ESCU Appにパッケージ化された強力な検出ルールとSplunk Enterprise Securityを使用すれば、最新の攻撃に先手を打ち、被害が生じる前に潜在的な脅威に対応できます。
1200以上の高品質な検出ルールが含まれるESCU Appを使って、組織のセキュリティを包括的かつ効果的に強化できます。これらの検出ルールをすばやく簡単に導入することで、組織のデータと資産をより確実に守るためのプロアクティブな対策を実現できます。
もちろん、これだけ大量の検出ルールを管理するには、堅牢な検出エンジニアリングアプローチを確立し、継続的に改善して、効率向上のために最適化する必要があります。その問題を解決するのがESCU Appです。ぜひダウンロードして組織のセキュリティ強化にお役立てください!
フィードバック
ご意見やご要望がございましたら、GitHubから遠慮なくお寄せください。Slackチャネル「#security-research」にご参加いただくこともできます。SlackのSplunkユーザーグループへの招待が必要な場合は、こちらの手順に従ってください。
寄稿者
この記事の執筆にあたってご協力いただいた以下の方々に感謝を申し上げます。Patrick Bareiss、Eric McGinnis、Bhavin Patel、Teoderick Contrera、Michael Haag、Mauricio Velazco、Rod Soto、Lou Stella。
