セキュリティ

12月 06日, 2023

3 分程度

今月のSplunk SOARプレイブック：プレイブックを使って脅威ハンティング

Coty Sugg

SOCの規模が拡大し、成熟度が高まると、プロアクティブな防御のために効果的で反復可能なプロセスを確立することが不可欠になります。これは、脅威ハンティングを必須のステップとして組み込む必要があるということでもあります。脅威の高度化、巧妙化が進み、その多くが従来のサイバーセキュリティ防御をすり抜けるようになる中で、SOCは、重大な問題に発展する前に脅威を発見し、ログに記録、監視、修復する高いスキルを持った脅威ハンターを必要としています。

その脅威ハンターをサポートするのがSplunk SOARです。Splunk SOARでは、Huntingプレイブックによる自動化を通じて、環境内の潜在的な脅威を簡単に検出できます。今月のプレイブック紹介では、Splunk SOARのHuntingプレイブックを使って脅威ハンティングをすばやく実行する方法について説明します。

脅威ハンティングとは

脅威ハンターの仕事は、未知の脅威を発見することです。脅威ハンターは、大量のセキュリティデータを分析し、ツールでは見落とされることのある不審なアクティビティパターンを探して、ネットワーク内に潜伏しているマルウェアや攻撃の兆候を見つけ出します。また、攻撃者が使用する戦術や技法に関する知識を深め、サイバー攻撃を防ぐための綿密な防御策を立てます。その際は、MITRE ATT&CKなど、広く普及しているフレームワークに沿って、組織の環境に合わせた具体策を検討します。

プレイブック

Huntingプレイブックでは、組織内のさまざまなセキュリティテクノロジーを使って、環境内のデータソースでアーティファクトが検出されます。このプレイブックの使い方は以下のとおりです。

初期設定

[Add events]ボタンをクリックして、脅威フィードからSplunk SOARにCSVを読み込みます。
新しく作成されたイベントを選択します。[Files]タブで、[Browse Files]ボタンをクリックしてCSVを選択するか、[Drop Files to Upload]フィールドにファイルをドラッグします。
表示されたファイルのVault IDを選択して、[Run Action]タブを選択します。[Generic] > [extract ioc]の順に選択して、ファイルから必要なデータを取り込みます。[Run Action]ウィンドウが表示されるので、[file type]フィールドでCSVを選択し、コンテナIDを入力して、右下隅の[Launch]ボタンをクリックします。
[Artifacts]タブで、右上隅にある3つの点のボタンを選択してドロップダウンメニューを開き、[Data Fields]セクションで[fileHash]オプションを選択してチェックを付けます。これにより、検出された各アーティファクトのファイルハッシュがハイパーリンクで表示されます。

プレイブックのカスタマイズ

[Playbook]画面で、事前構築済みの[Hunting]プレイブックを探して開きます。
[Hunt File]アクションブロックを選択し、[Inputs]の[hash*]フィールドで[fileHash]を選択します。
フィルターブロックを追加し、パラメーターの設定で[hunt_file_1] > [device_count]の順に選択します。条件として[Greater than]を選択し、値として「0」を入力します。
このフィルターの次にアクションブロックを追加して[list processes]に設定し、入力の[ioc*]で[filter_1] > [hash]の順に選択してから、[id*]で[filter_1] > [device_id]の順に選択します。
このアクションブロックの次にもう1つフィルターを追加して、パラメーターの設定で[list processes_1] > [process_count]の順に選択します。条件として[Greater than]を選択し、値として「0」を入力します。
このフィルターの次にアクションブロックを追加して[get process detail]に設定し、[process_id*]の値の設定で[filter_2] > [process_id]と選択します。
このカスタムプレイブックを保存します。

プレイブックの実行

[Artifacts]タブで[select all]チェックボックスをクリックします。
右上隅にある[More]ボタンをクリックし、ドロップダウンメニューから[Run Playbook]オプションを選択します。
保存したカスタムプレイブックを探して選択し、[Run Playbook]ボタンをクリックします。

このプレイブックの具体的な内容と設定手順については、次のビデオを参照してください。

これで、プレイブックを使って環境内で自動的にIoC (侵害の兆候)を探し、脅威を検出して、影響を受けたシステムの詳細と、影響を受けたファイルシステムの効果的な調べ方を確認できます。

research.splunk.com/playbooksでは、ほかにも多くの便利なプレイブックを紹介しています。ぜひチェックしてください。

また、最新の脅威ハンティング手法については、E-book『PEAK脅威ハンティングフレームワーク』もぜひご覧ください。

このブログはこちらの英語ブログの翻訳、横田聡によるレビューです。

タグ

Splunk SOAR

Coty Sugg

Coty Sugg has worked as a writer, editor, and marketing professional in various parts of the security industry for almost a decade. Here at Splunk, Coty serves as a Product Marketing Manager for Splunk SOAR and is responsible for creating and updating new marketing assets, managing SOAR's presence on the Splunk website, and working with extended Splunk teams to help ensure that everyone knows the latest and greatest about Splunk SOAR.

セキュリティ 13 分程度

Log4Shell - Splunkを使ってLog4j 2 RCEを検出する

広く使用されているオープンソースのApache Log4jログ出力ライブラリに見付かった重大なRCE(リモートコード実行)の脆弱性(CVE-2021-44228)は、このライブラリを使用する多数のアプリケーションやサードパーティサービスに脅威をもたらします。Splunk SURGeでは、Splunkを使ってLog4j 2 RCEを検出する方法を公開しています。

セキュリティ 5 分程度

明らかになった「セキュリティはデータの問題」と、それを対策、解決するSplunkの新クラウドソリューション

近年、サイバーセキュリティにおいても深刻なインシデントが多数発生しており、攻撃者のターゲットが拡大および多様化しています。Splunkが発表した調査レポート「2021 State of Security」では、現在のセキュリティ対策における課題となるデータの問題とその解決策などがまとめられています。ここではレポートのポイントを、Splunkの新クラウドソリューションと合わせて紹介します。

セキュリティ 3 分程度

ランサムウェアは45分未満で約10万ファイルを暗号化する

Splunk SURGeの調査により、組織はランサムウェアへの対応や軽減よりも感染防止に注力する必要があることが明らかになりました。

Splunkについて

Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。

Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。

Splunkの詳細はこちら