Recorded Future for Splunk アプリ v2.3.1 リリースには、Recorded Future テクニカル インジケーターを使用して SIEM によって生成された履歴ログからマルウェアの兆候を遡及的に検索する脅威ハンティング ワークフローをサポートするまったく新しい機能が含まれています。
Threatハンティングとは何ですか?
Threatハンティングは、ファイアウォール、ウイルス対策ソフトウェア、侵入検知システムなどの従来のセキュリティ対策を回避したサイバー脅威を検索および検出する積極的かつ反復的なプロセスです。 手動と自動のTTPs組み合わせて使用し、組織のネットワーク内の潜在的なセキュリティ侵害と侵入を特定して調査します。
Threatハンティングには、仮説の生成、データの収集、分析、検証などの継続的な活動サイクルが含まれます。 これは、組織のセキュリティポスチャーの潜在的な脆弱性と弱点を特定するだけでなく、見過ごされている可能性のある脅威の存在を特定することを目的としています。
ワークフロー
Splunk 内のThreatハンティング機能は、Splunk でトリアージ イベントが生成されたときに、対象のマルウェア ファミリがクライアント ログ内に蔓延しているかどうかを確認するためのフォローオン アクションとして使用する必要があります。 Splunk の Recorded Future は、セキュリティ イベントのコンテキストを設定し、情報を充実させることで、SOC アナリストによる調査の迅速化を支援します。後
Recorded Future for Splunkアプリにログインし、トップメニューの「Threat Hunts」をクリックします。
これにより、 Threatハンティング インターフェイスが開きます。 ここでは、機会と蔓延スコアに基づいて優先度の高いマルウェア ファミリを表示する、 Recorded FutureマルウェアThreatマップの再作成が表示されます (右上の表)。 下部のセクションには、アクティブな脅威ハンティングと完了した脅威ハンティングがすべて表示されます。
マルウェアThreatマップにリストされているマルウェア ファミリは、脅威ハンティングを設定するマルウェアのガイドとして使用できます。 マルウェア ファミリをクリックすると、マルウェアのエンリッチメント ページが開きます。
Threatハントを開始するには、マルウェアエンリッチメントページで開始する必要がありますThreat右側に「脅威ハント」ボタンがあります。ボタンをクリックすると、 Threatハントのパラメータを設定できるモーダルウィンドウが表示されます。
「 Threatハント」ボタンをクリックすると、表示されているマルウェア ファミリの脅威ハント検索を設定するための構成ウィザードが開きます。 ハントの名前を決定し、 Threatハントで探す情報漏洩/侵害の指標 (IOC) の種類を選択する必要があります。
インデックス、情報源の種類、イベント フィールドを選択したら、検索を開始する準備が整います。
これにより、Splunk に新しいジョブが作成されます。インデックスのサイズと、確認する情報ソース タイプおよびイベント フィールドの数によっては、完了するまでに時間がかかる場合があります。 RecordedFuture アプリケーションはそのジョブのステータスを追跡し、ジョブが完了するとステータスを「完了」に変更します。
上部メニューの「 Threatハンティング」オプションをクリックして、脅威ハンティングのリストを表示します。 Threatハント ページから、ハントが完了したかどうかのステータスを確認できます。 ハントを編集、複製、削除することもできます。
- 編集:脅威ハントを修正して、元々使用されていたものとは異なるパラメータを使用できます。
- 複製:これにより、元の脅威ハントで変更したいパラメータを変更するためのモーダルが開き、「ハントを開始」をクリックすると、元のハントとは別の完全に新しいハントが作成されます。
- ハントの削除:これにより、 Threatハント ダッシュボード上のハントのエントリが削除されます。 以前に初期化された脅威ハント実行は削除されません。
「完了した」 Threatハントをクリックすると、結果が表示されます。 関心のあるマルウェアに関連する Recorded Future リンクとクライアントの履歴ログとの一致は、表形式で表示されます。いずれかの IOC の横にある「Splunk を検索」リンクをクリックして Splunk 検索を実行し、ログの特定の詳細 (IOC の取得元に関する情報ソース / ユーザー情報) を取得します。