事件应急响应专家(三)

eCIR是什么?

不是一系列的多选题,而是一场模拟真实应急响应的考试。
你需要使用多种检测技术,流量分析、日志分析等。这些技能对你的工作很有帮助。
只有考生识别到了攻击者的攻击活动,才能获得eCIR认证。

需要知道的知识范围

网络流量分析
使用工具Wireshark, ELK, Splunk
事件分析
SIEM搜索
进程分析
对于网络安全杀伤链(信息搜集、扫描、漏洞利用、后渗透)的理解

前置知识

为了通过eCIR考试,你需要知道

  • 应急响应的全流程
  • 对于网络的概念
  • 应急响应过程和方法论
  • 数据包分析
  • 事件和日志分析
  • 熟悉Wireshark, ELK, Splunk
  • 网络犯罪技术,战术和过程
  • 检测网络杀伤链的所有阶段
  • 熟悉ELK和Splunk搜索
  • 使用SIEM有效的分析上千个事件
  • 对于sysmon和windows事件的了解
  • 通过进程分析来掌握攻击者的活动

SIEM安全信息事件管理工具Splunk

Splunk的创建者将其描述为一种从机器数据中聚合、分析并获得答案的解决方案。Splunk可用于应用程序管理、运营管理、安全与合规等。

在安全性方面,Splunk可以用作日志管理解决方案,但最重要的是用作分析驱动的SIEM。Splunk可以通过详细的可视化来加强对动态多步骤攻击的调查,甚至可以通过用户行为分析来增强组织的检测能力。

Splunk可以通过无代理和转发器的方式从几乎任何来源获取几乎任何数据。

Splunk的构架

Splunk的体系结构(高级别)包括:

转发器组件

通用转发器 从远程源收集数据,并将其发送到一个或多个Splunk索引器。通用转发器是单独的下载,可以安装在任何远程源上,对网络或主机性能几乎没有影响。

重型转发器 也从远程源收集数据,但它们通常用于重型数据聚合任务,来自防火墙或数据路由/过滤传递点等源。根据Spdiction的说法,与其他转发器类型不同,重型转发器在转发数据之前会对数据进行解析,并可以根据事件源或类型等标准路由数据。它们还可以在将数据转发到另一个索引器的同时对数据进行本地索引。重型转发器通常作为API/脚本数据访问的“数据收集节点”运行,并且它们仅与Splunk Enterprise兼容。

注意:HTTP事件收集器(HECs)也存在,可以通过基于令牌的JSON或原始API方式直接从应用程序中大规模收集数据。数据直接发送到索引器级别。

  • 索引器组件
    索引器处理机器数据,将结果存储为事件索引,实现快速搜索和分析。当索引器索引数据时,它会按年龄组织成一系列目录集合的文件。每个目录包含原始数据(已压缩)和索引(指向原始数据)。

  • 搜索头组件
    搜索头组件允许用户使用搜索语言搜索索引数据。它将用户搜索请求分发给索引器,并 cons 像提取字段值对一样将结果整合到用户中。搜索头上的知识对象可以用来提取额外的字段并转换数据,而不改变底层索引数据。需要注意的是,搜索头还提供增强搜索体验的工具,如报告、仪表板和可视化。

  • Splunk应用程序和技术附加组件(TAs):

Splunk应用程序旨在解决各种用例,并扩展Splunk的功能。它们基本上是包含数据输入、UI元素和/或知识对象的文件集合。Splunk应用程序还允许不同用例/用户角色的多个工作空间共存于单个Splunk实例上。现成的应用程序可在Splunkbase(splunkbase.com)上找到。

Splunk技术附加组件抽象了收集方法,通常包括相关的字段提取(即时架构)。它们还包括相关的配置文件(props/transforms)和辅助脚本二进制文件。

您可以将Splunk应用程序视为一个完整的解决方案,通常使用一个或多个技术附加组件。

Splunk用户和角色:

Splunk用户被分配角色,确定其能力和数据访问权限。默认情况下,有三种主要角色:

管理员:此角色拥有最多的功能。

Power:此角色可以编辑所有共享对象(保存搜索等)和警报,标记事件等类似任务。

用户:此角色可以创建和编辑自己的保存搜索、运行搜索、编辑自己的首选项、创建和编辑事件类型等类似任务。

Splunk的搜索和报告

您将在Splunk的搜索和报告中度过大部分时间。

Data Summary数据摘要,可以在单独的选项卡上为您提供主机、来源或来源类型。





最后,这就是事件的样子。

Splunk的搜索处理语言(SPL):

Splunk表示,SPL将SQL的最佳功能与Unix管道语法相结合,使您能够:

以原始格式访问所有数据

针对时间序列事件进行优化

使用相同的语言进行可视化

SPL提供了140多个命令,允许您搜索、关联、分析和可视化任何数据。

下图表示一个搜索,分解为其语法组件。

搜索由五个基本组成部分组成。

搜索词,在其中指定要查找的内容。搜索词包含关键字、短语、布尔值等。

命令,用于指定要如何操作结果。例如,创建图表、计算统计数据等。

函数,用于指定绘制图表、计算或评估结果的确切方式。

参数,以防存在要应用于函数的变量。

子句,用于指定对结果中的字段进行分组或重命名的确切方式。

在编写搜索时,您会注意到搜索字符串的某些部分会自动着色。颜色基于搜索语法。实例

提交搜索时需要考虑的其他事项是Splunk的搜索模式。

有三种搜索模式:

快速模式:关闭字段查找以进行事件搜索。没有用于统计搜索的事件或字段数据。

智能模式:为事件搜索打开字段发现。没有用于统计搜索的事件或字段数据。

详细模式:所有事件和字段数据。

建议使用Smart开始搜索,然后从那里开始。

我们强烈建议您在继续实验室任务之前,花时间学习探索Splunk电子书。特别是第4章,因为它涵盖了最常用的搜索命令。

在以下资源中,还很好地记录了各种搜索方面。

https://docs.splunk.com/Documentation/Splunk/7.2.4/Search/GetstartedwithSearch

实验

您所在的组织(Wayne Enterprises)正在使用Splunk作为SIEM解决方案来增强其入侵检测能力。Wayne Enterprises进行了一次红队演习,红队向您提供了他们一些利用活动的技术细节(也称为战术威胁情报)。您的SOC经理让您首先尝试通过Splunk自行识别成功的利用尝试。然后,一旦初步调查完成,他就让您将提供的TTP转换为Splunk搜索。

注:本实验室基于Splunk发布的Boss Of the SOC(BOTS)v1数据集。

学习目标

学习目标
这个实验室的学习目标是学习有效的Splunk搜索写作,以及如何将攻击者TTP翻译成Splunk的搜索。

具体来说,您将学习如何使用Splunk的功能,以便:

通过网络具有更好的可视性

及时有效地应对事件

主动搜寻威胁

任务一

尝试在不咨询所提供TTP的情况下确定成功的利用尝试

如前所述,红队向您提供了有关他们一些渗透活动的技术细节。您的SOC管理者的任务是首先,使用Splunk识别一个成功的攻击尝试。

红队进行了大量的渗透活动。识别一个就足以完成这项任务。

提示:

通过关注流开始您的调查:stream:dns dns源类型。然后,继续跟踪线索,直到你确定实际发生了什么。好奇的域名总是令人感兴趣。

任务二

将提供的红队TTP转换为Splunk搜索

红队通知您,他们在演习中使用了以下TTP。

恶意USB

计算机生成的域名(以加快域生成过程)

恶意VBS

成熟勒索软件

代码混淆

将提供的红队TTP转换为Splunk搜索。

提示:

可移动媒体可以通过Sysmon日志中驱动器号的存在或Windows注册表日志中字符串friendlyname的存在来识别

https://www.splunk.com/blog/2017/11/03/you-can-t-hyde-from-dr-levenshtein-when-you-use-url-toolbox.html

Sysmon日志的CommandLine字段可以帮助您做到这一点

成熟的勒索软件除了试图禁用系统还原外,还试图使用卷影复制服务(VSS)删除VSC中存储的所有内容

混乱的代码通常涉及执行过长的命令

答案

在开始调查之前,请将时间范围选择器更改为All time。

在开始调查之前,一定要确定可用的来源类型。您可以按如下方式进行操作。

| metadata type=sourcetypes index="botsv1"

参考资料