Skip to main content
Lanterna Home

Splunk Lantern

Proteger ambientes de Tecnologia Operacional (OT)

  1. Last updated
  2. Save as PDF

Os ambientes de Tecnologia Operacional (OT) impulsionam as suas funções críticas de negócio e geram receitas para a sua empresa, mas a sua organização tem uma visibilidade muito limitada dos seus ativos críticos. Tem de aprender a utilizar ferramentas e conteúdos preexistentes do Splunk para ajudar a sua organização a proteger o seu ambiente operacional, os seus trabalhadores e a sua receita.

Como utilizar o software Splunk para este caso de utilização

Para organizações que operam ativos, redes e instalações em ambientes tradicionais de TI e industriais (OT), o complemento de segurança OT para Splunk permite que eles usem Splunk Enterprise Security melhorar a detecção de ameaças, a investigação de incidentes e a resposta.

O complemento de segurança OT expande as capacidades do Splunk platform monitorizar ameaças e ataques, conformidade, investigação de incidentes, análise forense e resposta a incidentes num amplo espectro de ativos e topologias - desde SCADA a controladores lógicos programáveis (PLCs) - que definem práticas modernas de fabrico. Esta solução pode ajudá-lo a iniciar a sua jornada de segurança, fornecendo painéis predefinidos e regras de correlação relativas à segurança de perímetro, monitorização de infra-estruturas e integração com plataformas de segurança OT. O complemento OT Security mapeia para estruturas de segurança tradicionais, como MITRE ATT&CK, CIS 18 e Kill-Chain, bem como MITRE ATT&CK para ICS.

Os componentes do complemento OT Security incluem:

  • Visão geral da segurança de OT
  • Monitorização do perímetro
  • Monitorização de infra-estruturas
  • Visão centralizada das tecnologias de parceiros.
  • Relatórios de conformidade NERC CIP
  • Regras de correlação incluindo mapeamento para estruturas de segurança como MITRE ATT&CK para ICS, CIS 20 e outros
  • Integração com Splunk Enterprise Security
  • Mapeamento de conteúdos de casos de utilização (histórias analíticas)

Alguns comandos, parâmetros e nomes de campo nas pesquisas abaixo podem precisar ser ajustados para corresponder ao seu ambiente. Além disso, para otimizar as pesquisas mostradas abaixo, deverá especificar um índice e um intervalo de tempo quando apropriado.

Detectar suportes não aprovados (unidade USB) em activos OT

Dados necessários: Complemento Splunk para Microsoft Windows monitorização do registo de terminais

Esta pesquisa detecta a utilização do armazenamento em massa USB com base em Windows dados de registo. Isto é útil para detectar e alertar sobre a possibilidade de um dispositivo USB transferir ficheiros não autorizados para ou a partir de dispositivos OT.

O SPL pode ser usado em painéis e alertas para mostrar toda a atividade USB. Deve determinar através de listas de autorizações quais os itens a alertar e investigar. 

sourcetype=WinRegistry key_path="HKLM\\system\\controlset*\\enum\\usbstor\\*"  registry_type=CreateKey
| eval Date=strftime(_time, "%Y/%m/%d %H:%M:%S")
| rex "key_path.*usbstor\S(?<DeviceType>.*)&ven\S(?<Vendor>.*)&prod\S(?<Product>\S*)&rev\S"   
| stats  count BY Date, host, Vendor, Product, DeviceType   
| fields  - count   
| sort  - Date

Detectar partilha de ecrã

Dados necessários: Dados mapeados para o Modelo de dados de tráfego de rede

Esta pesquisa procura o tráfego de rede no TCP/3389, a porta predefinida utilizada pelo ambiente de trabalho remoto. Embora o tráfego de área de trabalho remota não seja incomum numa rede, é normalmente associado a sistemas anfitriões conhecidos. A pesquisa ignora as fontes comuns de RDP e os destinos comuns de RDP para que possa concentrar-se nos usos incomuns do ambiente de trabalho remoto na sua rede.

Para implementar com êxito esta pesquisa, é necessário identificar sistemas que normalmente originam tráfego de área de trabalho remota e que recebem normalmente tráfego de área de trabalho remota. Pode utilizar a pesquisa de suporte incluída “Identificar sistemas que criam tráfego de área de trabalho remota” para identificar sistemas que originam o tráfego e a pesquisa “Identificar sistemas que recebem tráfego de área de trabalho remota” para identificar sistemas que recebem muito tráfego de área de trabalho remota. Depois de identificar estes sistemas, terá de adicionar a categoria “common_rdp_source” ou “common_rdp_destination” a esse sistema, dependendo da utilização, utilizando a estrutura Enterprise Security Assets and Identities. Isso pode ser feito adicionando uma entrada no arquivo assets.csv localizado em SA-IdentityManagement/Lookups. 

| tstats `security_content_summariesonly` count min(_time) AS firstTime max(_time) AS lastTime FROM datamodel=Network_Traffic WHERE All_Traffic.dest_port=3389 AND All_Traffic.dest_category!=common_rdp_destination AND All_Traffic.src_category!=common_rdp_source AND all_Traffic.action="allowed" BY All_Traffic.src All_Traffic.dest All_Traffic.dest_port 
| `drop_dm_object_name("All_Traffic")` 
| `security_content_ctime(firstTime)`
| `security_content_ctime(lastTime)` 
| `remote_desktop_network_traffic_filter`

Detectar portas não comuns de ICS

Dados necessários: Dados mapeados para o Modelo de dados de tráfego de rede

Esta pesquisa procura tráfego de rede em todas as portas não comuns do ICS. As portas predefinidas podem ser alteradas para se ajustarem ao seu ambiente exclusivo. Conhecer as suas portas ajuda se novos dispositivos ou exploits forem introduzidos no ambiente.

O SPL pode ser usado em painéis e alertas para mostrar toda a atividade da rede. Tem de determinar através de listas de permissão sobre quais itens alertar e investigar.

As portas comuns que poderá querer adicionar a esta pesquisa incluem:

  • BACnet/IP - UDP/47808
  • DNP3 - TCP/20000, UDP/20000
  • EtherCAT - UDP/34980
  • Ethernet/IP - TCP/44818, UDP/2222, UDP/44818
  • FL-Net - UDP/55000 a 55003
  • Fundação Fieldbus HSE - TCP/1089 a 1091, UDP/1089 a 1091
  • ICCP - TCP/102
  • Modbus TCP - TCP/502
  • Servidor de Descoberta OPC UA - TCP/4840
  • OPC UA XML - TCP/80, TCP/443
  • PROFINET - TCP/34962 a 34964, UDP/34962 a 34964
  • ROC Plus - TCP/UDP 4000 
| tstats `security_content_summariesonly` count min(_time) AS firstTime max(_time) AS lastTime FROM datamodel=Network_Traffic WHERE All_Traffic.dest_port NOT IN (47808, 20000, 34980, 44818, 2222, 55000, 55001, 55002, 55003, 1089, 1090, 1091, 102, 502, 4840, 443, 80, 34962, 34963, 34964, 4000) AND All_Traffic.dest_category!=common_rdp_destination AND All_Traffic.src_category!=common_rdp_source AND all_Traffic.action="allowed" by All_Traffic.src All_Traffic.dest All_Traffic.dest_port 
| `drop_dm_object_name("All_Traffic")` 
| `security_content_ctime(firstTime)`
| `security_content_ctime(lastTime)` 
| `remote_desktop_network_traffic_filter`

Próximos passos

Outros complementos que poderá necessitar para trabalhar eficazmente com o complemento de segurança OT para Splunk são:

Além disso, estes recursos podem ajudá-lo a compreender e implementar estas orientações:

Serviços Splunk OnDemand: Utilize estes serviços baseados em crédito para acesso directo aos consultores técnicos da Splunk com uma variedade de serviços técnicos a partir de um catálogo pré-definido. A maioria dos clientes tem Serviços a Pedido por seus plano de suporte de licença . Envolva a equipa ODS em ondemand@splunk.com se quiser ajuda.