SOCの規模が拡大し、成熟度が高まると、プロアクティブな防御のために効果的で反復可能なプロセスを確立することが不可欠になります。これは、脅威ハンティングを必須のステップとして組み込む必要があるということでもあります。脅威の高度化、巧妙化が進み、その多くが従来のサイバーセキュリティ防御をすり抜けるようになる中で、SOCは、重大な問題に発展する前に脅威を発見し、ログに記録、監視、修復する高いスキルを持った脅威ハンターを必要としています。
その脅威ハンターをサポートするのがSplunk SOARです。Splunk SOARでは、Huntingプレイブックによる自動化を通じて、環境内の潜在的な脅威を簡単に検出できます。今月のプレイブック紹介では、Splunk SOARのHuntingプレイブックを使って脅威ハンティングをすばやく実行する方法について説明します。
脅威ハンティングとは
脅威ハンターの仕事は、未知の脅威を発見することです。脅威ハンターは、大量のセキュリティデータを分析し、ツールでは見落とされることのある不審なアクティビティパターンを探して、ネットワーク内に潜伏しているマルウェアや攻撃の兆候を見つけ出します。また、攻撃者が使用する戦術や技法に関する知識を深め、サイバー攻撃を防ぐための綿密な防御策を立てます。その際は、MITRE ATT&CKなど、広く普及しているフレームワークに沿って、組織の環境に合わせた具体策を検討します。
プレイブック
Huntingプレイブックでは、組織内のさまざまなセキュリティテクノロジーを使って、環境内のデータソースでアーティファクトが検出されます。このプレイブックの使い方は以下のとおりです。
初期設定
- [Add events]ボタンをクリックして、脅威フィードからSplunk SOARにCSVを読み込みます。
- 新しく作成されたイベントを選択します。[Files]タブで、[Browse Files]ボタンをクリックしてCSVを選択するか、[Drop Files to Upload]フィールドにファイルをドラッグします。
- 表示されたファイルのVault IDを選択して、[Run Action]タブを選択します。[Generic] > [extract ioc]の順に選択して、ファイルから必要なデータを取り込みます。[Run Action]ウィンドウが表示されるので、[file type]フィールドでCSVを選択し、コンテナIDを入力して、右下隅の[Launch]ボタンをクリックします。
- [Artifacts]タブで、右上隅にある3つの点のボタンを選択してドロップダウンメニューを開き、[Data Fields]セクションで[fileHash]オプションを選択してチェックを付けます。これにより、検出された各アーティファクトのファイルハッシュがハイパーリンクで表示されます。
プレイブックのカスタマイズ
- [Playbook]画面で、事前構築済みの[Hunting]プレイブックを探して開きます。
- [Hunt File]アクションブロックを選択し、[Inputs]の[hash*]フィールドで[fileHash]を選択します。
- フィルターブロックを追加し、パラメーターの設定で[hunt_file_1] > [device_count]の順に選択します。条件として[Greater than]を選択し、値として「0」を入力します。
- このフィルターの次にアクションブロックを追加して[list processes]に設定し、入力の[ioc*]で[filter_1] > [hash]の順に選択してから、[id*]で[filter_1] > [device_id]の順に選択します。
- このアクションブロックの次にもう1つフィルターを追加して、パラメーターの設定で[list processes_1] > [process_count]の順に選択します。条件として[Greater than]を選択し、値として「0」を入力します。
- このフィルターの次にアクションブロックを追加して[get process detail]に設定し、[process_id*]の値の設定で[filter_2] > [process_id]と選択します。
- このカスタムプレイブックを保存します。
プレイブックの実行
- [Artifacts]タブで[select all]チェックボックスをクリックします。
- 右上隅にある[More]ボタンをクリックし、ドロップダウンメニューから[Run Playbook]オプションを選択します。
- 保存したカスタムプレイブックを探して選択し、[Run Playbook]ボタンをクリックします。
このプレイブックの具体的な内容と設定手順については、次のビデオを参照してください。
これで、プレイブックを使って環境内で自動的にIoC (侵害の兆候)を探し、脅威を検出して、影響を受けたシステムの詳細と、影響を受けたファイルシステムの効果的な調べ方を確認できます。
research.splunk.com/playbooksでは、ほかにも多くの便利なプレイブックを紹介しています。ぜひチェックしてください。
また、最新の脅威ハンティング手法については、E-book『PEAK脅威ハンティングフレームワーク』もぜひご覧ください。