Skip to main content
Lanterna Home

Splunk Lantern

Monitorização de consultas de DNS

  1. Last updated
  2. Save as PDF

É um analista de segurança que procura melhorar a detecção de ameaças nos seus endpoints. Já usa o Sysson, particularmente o código de evento 1, criação de processos, para ganhar fidelidade em programas que começam nos seus sistemas, mas sabe que existem outros eventos Sysson que pode querer utilizar durante as suas caçadas. Está especialmente interessado em aprofundar mais nos detalhes das consultas de DNS, o que pode complementar as suas técnicas de caça existentes e potencialmente também ajudá-lo a conduzir mais automação.

Dados requeridos

Microsoft : Syson

A configuração tem de ser executada para tirar o máximo proveito dos seus eventos do Syson. Pode aceder a modelos para o ajudar a começar, por exemplo Swift on Security configuração . Terá também de instalar o Splunk Add-On for Microsoft Sysmon .

Procedimento

Execute a seguinte pesquisa. Pode optimizá-lo especificando um índice e ajustando o intervalo de tempo. 

source="xmlwineventlog:microsoft-windows-sysmon/operational"  EventCode=22
EventDescription="DNS Query" host="<hostname>" 
Image="[C:\\Program Files(x86)\\Microsoft\\Edge\\Application\\msedge.exe]" 
QueryName="<URL>"

Explicação

Pesquisa Splunk Explicação
source="xmlwineventlog:microsoft-windows-sysmon/operational" Pesquise apenas os dados operacionais do Syson.
EventCode=22 EventDescription="DNS Query"
host="<hostname>"
Image="[C:\\Program Files
(x86)\\Microsoft\\Edge\\Application\\msedge.exe]" 		Pesquise o código de evento 22, consultas DNS sendo executadas por um caminho específico em um host específico.
QueryName="<URL>" Pesquise o URL especificado.

Próximos passos

Aqui está um exemplo de resultado, mostrando host bstoll-1 utilizar o Microsoft Edge para procurar www.blogger.com e obter um endereço IP de volta em resposta:

Neste exemplo, o resultado é benigno, mas esta pesquisa pode devolver resultados tanto benignos como suspeitos. Modificar a imagem num sistema anfitrião suspeito pode produzir uma visão mais aprofundada das consultas de domínio.

O conteúdo deste guia provém de blog publicado anteriormente , um dos milhares de recursos do Splunk disponíveis para ajudar os utilizadores a terem sucesso. Além disso, estes recursos do Splunk podem ajudá-lo a compreender e implementar este caso de utilização:

Serviços Splunk OnDemand: Utilize estes serviços baseados em crédito para acesso directo aos consultores técnicos da Splunk com uma variedade de serviços técnicos a partir de um catálogo pré-definido. A maioria dos clientes tem Serviços a Pedido por seus plano de suporte de licença . Envolva a equipa ODS em ondemand@splunk.com se quiser ajuda.