メインコンテンツへスキップ
ランタンホーム

Splunk Lantern

ソフトウェアサプライチェーン攻撃の検出

  1. 最後の更新
  2. PDFとして保存

あなたの組織はソフトウェアを開発し、その中で脅威ハンティングをする責任はあなたにあります。正規のアプリに感染してマルウェアを配布することで、ソースコード、ビルドプロセス、更新メカニズムを脅かすソフトウェアサプライチェーン攻撃の頻度が増加していることに気づきました。しかし、これらの攻撃の検出は容易ではありません。組織では、ソフトウェアの開発にさまざまなソフトウェア、サービス、インフラストラクチャ、人材を使用しているため、それら全体に検出技術を適用することは困難です。SSL/TLS ハンドシェイクプロセスで見つかった特定の値の MD5 ハッシュを作成できる JA3 オープンソース手法をご存知でしょう。また、JA3 と JA3 はいずれも、さまざまなツールを使用してネットワークトラフィックから簡単に取得できることもご存知でしょう。Ja3/s ハッシュを忠実度の高いデータポイントとして活用して、異常なアクティビティを前面に押し出したいと思うでしょう。

次のステップ

これらの検索を使用することで、Ja3/s の異常なハッシュから異常なアクティビティを検出できる可能性が非常に高いです。ただし、成功に影響する要因はいくつかあります。したがって、これらの検索は次のような状況で最も効果的に実行されます。

  • 誤検出の件数を制限する許可リストを使用する。
  • SSL/TLS で暗号化されていないネットワーク接続に対して。
  • クライアントとしてのアウトバウンド接続が制限されている内部ホストまたはネットブロックを使用する。一般的な Web ブラウジングに使用される内部ソースホストや、SSL/TLS セッションを介して多数の外部サービスに日常的にアクセスするホストに対しては、いずれの検索も効果的に機能しません。
  • SSL/TLS インターセプトまたはインスペクションのないネットワークで。これは、SSL/TLS インターセプトは、リクエストを行うクライアントにとって実際の外部サーバーとは異なる特性を示すためです。

このガイドの内容は 以前に公開されたブログ は、ユーザーの成功に役立つ数千に上る Splunk リソースの 1 つです。さらに、次の Splunk リソースは、このユースケースの理解と実装に役立つ場合があります。

Splunk OnDemand Services: これらのクレジットベースのサービスを利用すると、事前定義されたカタログからさまざまな技術サービスを受けられる Splunk の技術コンサルタントに直接アクセスできます。ほとんどのお客様は オンデマンドサービス 彼らによると ライセンスサポートプラン 。ODSチームに次の場所で連絡してください。 ondemand@splunk.com サポートが必要な場合。