Übersicht der Risikolisten
Risikolisten können verwendet werden, um Ereignisse zu korrelieren und anzureichern. Für jedes Element in der Risikoliste (z. B. eine IP-Nummer, eine URL oder ein Hash) gibt es eine Risikobewertung und Informationen darüber, warum die Bewertung festgelegt wurde.
Korrelation
Jede konfigurierte Risikoliste wird auf den Splunk-Server heruntergeladen und lokal verarbeitet. Ein Teil der Informationen wird in das Threat Intelligence-Framework eingefügt, das Teil von Splunk Enterprise Security ist. Das Framework verwaltet Listen von Indicators of Compromise (IOCs) aus externen Quellen (z. B. Recorded Future).
Wenn ein Ereignis mit einem Eintrag in der entsprechenden Liste übereinstimmt, wird es für mögliche weitere Aktionen gekennzeichnet. Beispiele für weitere Aktionen sind Korrelationssuchen wie z.B. die Regel "Threat Activity Detected". Ereignisse, die dieser Regel entsprechen, werden in Splunk Enterprise Security als wichtige Ereignisse hervorgehoben.
Anreicherung
Jede heruntergeladene Risikoliste wird auch als Nachschlagetabelle gespeichert. Das Add-on für Spunk Enterprise Security von Recorded Future verfügt über vorkonfigurierte Speichersuchen, die sich mit bemerkenswerten Ereignissen befassen und neue bemerkenswerte Ereignisse für jedes Ereignis erstellen, für das zusätzliche Daten verfügbar sind. Die neue Veranstaltung wird zusätzliche Informationen enthalten, wie z. B. den Recorded Future Risk Score und Details darüber, warum dieses Risiko dem IOC zugewiesen wurde.
Ausfall-Risikolisten
Standardmäßig wird die App mit vier vorkonfigurierten Standardrisikolisten ausgeliefert:
- IP-Nummer
- Domänennamen
- Internetadressen
- Hashes
Wenn Sie über Fusion-Zugriff verfügen, ist es möglich, zusätzliche Risikolisten zu definieren und zu lesen.
Risikolisten verwalten
Navigieren Sie zu Configuration->Inputs. Dadurch werden Ihnen alle konfigurierten Eingaben angezeigt (sowohl Risikolisten als auch Alert-Monitoring). Wenn Sie auf das >-Zeichen klicken, werden zusätzliche Informationen über die Liste angezeigt.
In der Dropdown-Liste Aktionen ist es möglich, eine Liste zu aktivieren/deaktivieren, zu löschen, zu klonen oder zu bearbeiten.
Hinzufügen oder Ändern von Risikolisten-Downloads
Um eine zusätzliche Risikoliste zu erstellen, klicken Sie auf die grüne Schaltfläche "Neuen Input erstellen" und wählen Sie Aufgezeichnete zukünftige Risikoliste.
Feld | Bedeutung | Kommentar |
---|---|---|
Name | Name der Risikoliste innerhalb der Splunk-Instanz. Die Nachschlagedatei erhält den Namen <name>.csv. | |
Intervall | Die Liste wird nach dieser Anzahl von Sekunden auf Aktualisierungen überprüft. Dieser Wert sollte auf 300 festgelegt werden. | Hier wird festgelegt, wie oft die Liste überprüft wird. Aktualisierungen erfolgen nur, wenn die Liste aktualisiert wurde. |
Index | Der modulare Eingang erzeugt beim Ausführen Statistiken. Legen Sie den Index fest, in dem diese gespeichert werden. | Stellen Sie sicher, dass Sie einen Index mit korrekten Rollenzuweisungen auswählen - belassen Sie es bei main/default, wenn Sie sich nicht sicher sind. |
Kategorie der Risikoliste | Wählen Sie aus, über welche Art von Element die Risikoliste Daten enthält. | IP, Domain, Hash, Schwachstelle oder URL |
Fusion-Datei | Der Pfad zur Fusion-Risikoliste. Wenn die Liste als Nachschlageobjekt verwendet werden soll, muss der Fusion Flow definiert werden, um eine unkomprimierte CSV-Datei zu erzeugen. | Muss einer definierten Fusion-Datei entsprechen. Wenn dieses Feld leer gelassen wird, wird die Standardrisikoliste für die Kategorie verwendet. |
Sobald die neue Risikoliste eingerichtet wurde, wird sie heruntergeladen und dem Threat Intelligence-Framework von Splunk zur Verfügung gestellt. In der Regel ist dies innerhalb weniger Minuten erledigt. Sobald die Liste abgeschlossen ist, wird sie zur Erkennung verdächtiger IOCs verwendet.
Um die Anreicherung zu ermöglichen, ist jedoch eine neue Korrelationssuche erforderlich.
- Gehen Sie zu Einstellungen->Einstellungen, Berichte und Benachrichtigungen
- Wählen Sie "Typ: Alle" und "App: Aufgezeichnetes zukünftiges Add-on für Splunk ES" aus.
- Suchen Sie nach "Bedrohung - RF-IP-Bedrohungslistensuche - Regel" (oder der entsprechenden Domäne, Hash oder URL, je nachdem, um welche Art von Risikoliste es sich handelt).
- Wählen Sie im Dropdown-Menü "Bearbeiten" die Option "Klonen" aus.
- Ändern Sie das Feld "Neuer Titel" in etwas Sinnvolles, z. B. "Bedrohung - RF-IP Meine benutzerdefinierte Bedrohungslistensuche - Regel".
- Erwägen Sie, die Beschreibung zu ändern.
- Stellen Sie sicher, dass die Berechtigungen auf Klonen festgelegt sind.
- Gehen Sie zu Einstellungen->Einstellungen, Berichte und Benachrichtigungen
- Wählen Sie "Typ: Alle" und "App: Aufgezeichnetes zukünftiges Add-on für Splunk ES" aus.
- Klicken Sie auf die neu erstellte Suche.
-
Ändern Sie die Suche:
- Ändern Sie den ersten Parameter des Makros (z. B. rf_ip_risklist) in den Namen der neuen Risikoliste.
- Retten