メインコンテンツへスキップ
ランタンホーム

Splunk Lantern

Crowdstrikeマルウェアデータのトリアージング

  1. 最後の更新
  2. PDFとして保存

クラウドネイティブなエンドポイントセキュリティプラットフォームCrowdStrikeは、インフラストラクチャの重要な部分です。ただし、可視性の向上と機械学習による検出により、セキュリティオペレーションセンターが過剰なアラートに圧倒されることがあります。脅威に関連するより多くの情報を迅速に収集し、リスクレベルを判断し、アラートが山積みになったらすぐに対応する方法が必要です。Crowdstrikeで検出されたマルウェアの優先順位を判断し、アナリストの情報に基づいた決定に基づいてさまざまな対応を自動化したいと考えています。これにより、アナリストは繰り返しの多いクエリをスキップし、誤検出を無視して、アラートを確認したらすぐに調査段階に入ることができます。

このユースケースで Splunk ソフトウェアを使用する方法

このプレイブックにはさまざまな方法があります。最初の決定とフィルターにより、Playbook が SHA256 ファイルハッシュを使用して検出を処理していることを確認できます。次に、CrowdStrike のカスタムインジケーターテーブルにクエリが実行され、ハッシュが前回の検出で既知のファイルを表しているかどうかが確認されます。その場合、プレイブックの下半分は、そのハッシュに適用されているポリシーに基づいてワークフローを簡略化し、ハッシュが悪質であることが判明した場合はデバイスを隔離し、ハッシュが無害であることが判明した場合はイベントをクローズします。プレイブックの上半分では、ファイルハッシュの量がわかっていないため、さらに詳しく調べています。「ファイルをハントする」アクションと「プロセスの詳細を取得」アクションでは、ディスク上で同じハッシュを持つ環境内の他のホストと、同じファイルを実行している他のプロセスの動作が表示されます。

これらの情報はすべて、調査ページのプロンプトウィジェットとアクションウィジェットにまとめられているため、アナリストは 2 つの決定を下すことができます。

  1. まず、アナリストは指標を無視するか、指標の誤検知ポリシー(CrowdStrikeでは「なし」のポリシー)を作成するか、真のポジティブポリシー(「検出」のポリシー)を作成できます。
  2. 次に、アナリストはエンドポイントを直ちに隔離し、調査中にシステムにアクセスできるネットワークアドレスの許可リストが設定されている場合を除き、送受信されるすべてのネットワークトラフィックをブロックするかどうかを決定できます。

CrowdStrikeの[設定]>[コンテインメントポリシー]ページでは、隔離されたデバイスの許可リストをカスタマイズできます。プレイブックを使用するには:

  1. クラウドストライクで API クライアントを作成します。
    1. Falcon コンソールで、以下に移動します。 サポート > API クライアント キー > 新規 API クライアントの追加
    2. 「SOAR」などの名前と、検出、インシデント、ホストの読み取り権限、およびIOCの読み取りおよび書き込み権限を指定します。
  2. Splunk SOAR で CrowdStrike アプリ用のアセットを設定します。
    1. Splunk SOAR インスタンスで、以下に移動します。 ホーム > アプリ > 未設定アプリ > サーチ にとって クラウドストライク OAuth API > 新規アセットの設定 .
    2. アセットに「crowdstrike_oauth」などの名前を付けます。
    3. アセット設定ページで、CrowdStrike API クライアントからのクライアント ID、クライアントシークレット、アプリ ID を入力します。
    4. インジェスト設定ページで、「crowdstrike」などのラベルと取り込み間隔(10分に1回など)を選択します。
    5. 接続を保存してテストし、アセットが機能していることを確認します。
  3. プレイブックを設定して有効にします。
    1. に移動 ホーム > プレイブック と検索 クラウドストライク_マルウェア_トリアージ 。表示されていない場合は、をクリックします。 [ソースコントロールから更新] そして選択してください コミュニティ 新しいコミュニティプレイブックをダウンロードできます。
    2. プレイブック名をクリックして開きます。
    3. 新しく作成されたものを選択して、プレイブックのインポートウィザードを解決してください クラウドストライク OAuth アセット (別のアセット名を使用した場合)。
    4. 90日ではなく別の時間を使ってアカウントが古くなっているかどうかを判断したい場合は、「calculate_start_time」ブロックの「amount_to_modify」フィールドを変更してください。
    5. ラベルを次のように設定します クラウドストライク または CrowdStrike アセット設定で作成されたラベルであればどれでもかまいません。
    6. プレイブックを次のように設定 アクティブ
    7. プレイブックを保存します。

次のステップ

他の自動インシデント対応と同様に、このプレイブックを拡張する最善の方法は、試用期間中は実際に運用されていることを確認し、綿密なフィードバックループを維持して、実行後にアナリストが取る最も一般的な手動アクションを追加することです。たとえば、VirusTotal、Recorded Future、ReversingLabs などの脅威インテリジェンスプラットフォーム、またはSplunk SOARが統合されている多数の脅威インテリジェンスプラットフォームのいずれかにアクセスできれば、このプレイブックにいくつかの「ファイルレピュテーション」アクションを追加するだけで済みます。同様に、マルウェアのサンドボックスは、実行ファイルの動作に関するレポートを作成し、類似の実行可能ファイルと比較することもできます。

Splunkプラットフォームにクエリを実行すると、環境全体での同様のコマンドライン実行、インシデント発生時のホストのネットワーク通信に関する詳細、インシデントに関係する資産やIDに関する情報など、あらゆる種類の有用なサポート情報も得られます。

この記事の内容は 以前に公開されたブログ は、ユーザーの成功に役立つ数千に上る Splunk リソースの 1 つです。さらに、以下のリソースは、このガイダンスの理解と実装に役立つ場合があります。

Splunk OnDemand Services: これらのクレジットベースのサービスを利用すると、事前定義されたカタログからさまざまな技術サービスを受けられる Splunk のテクニカルコンサルタントに直接アクセスできます。ほとんどのお客様が オンデマンドサービス 彼らによると サクセスプラン 。ODSチームに次の場所で連絡してください。 ondemand@cisco.com サポートが必要な場合。