A Splunk átalakítása fél-SOAR platformmá

Amint azt a hivatalos Splunk weboldalon is láthatjuk, ez a szoftver gépeink adatait válaszokká változtatja.

De milyen válaszokat keresünk?

A Splunk egy olyan hatékony eszköz, amely nagy mennyiségű adat kezelése mellett több célra használható, mint például az IT monitorozás, SIEM vagy SOAR funkcióra.

A következőkben röviden be szeretném mutatni, hogyan kell a Splunk-ot fél-SOAR platformként használni.

Először tisztáznunk kell, hogy mi a SOAR és mi a Splunk.

A SOAR (Security Orchestration, Automation and Response) egy olyan megoldás, amely lehetővé teszi egy szervezet számára, hogy adatokat gyűjtsön több forrásból származó biztonsági fenyegetésekről, és emberi segítség nélkül reagáljon az alacsony szintű biztonsági eseményekre. A SOAR lényege a fizikai és digitális biztonsági műveletek hatékonyságának javítása. Ez alkalmazható olyan ezzel kompatibilis termékekre és szolgáltatásokra, amelyek segítenek meghatározni, priorizálni, szabványosítani és automatizálni az incidensreagáláshoz kapcsolódó funkciókat.

A Splunk egy olyan szoftvertermék, amely lehetővé teszi az IT-infrastruktúra vagy az üzleti vállalkozás összetevőiből gyűjtött adatok keresését, elemzését és megjelenítését. A Splunk a webhelyektől, alkalmazásoktól, érzékelőktől, eszközöktől gyűjt adatokat. Miután meghatároztuk az adatforrásokat, a Splunk indexeli az adatfolyamot, és elemzi azokat egy sor olyan eseményre, amelyek ezután kereshetőek és megtekinthetőek.

Ahhoz, hogy meghatározzuk, mi szükséges a Splunk használatához SOAR platformként, össze kell szednünk azokat a követelményeket, amelyek lehetővé teszik a rendszer félig-meddig történő automatizálását.

Amikor összegyűjtöttünk adatokat a Splunk-ban, lehetőségünk van arra, hogy ne csak figyelmeztető jelzéseket, dashboardokat, riportokat készítsünk, hanem akár egyéb automatizált feladatokat is létrehozhatunk, hogy biztonsági vagy infrastrukturális csapatunk hatékonyabban kezelje a felmerülő problémákat.

A Splunk támogatja a *Nix és a Windows platformot is, így mindekét esetben egyedi műveleteket hozhatunk létre. Ezek a parancsok sh (shell scripts), py (Python script), js (Javascript) vagy más futtatható formátumban hozhatóak létre.

Ezek a szkriptek a keresési eredményekből adatokat vesznek át, és ezeket a Splunk a parancsfájlokhoz kapcsolva futtatja.

Például létrehozhatunk egy keresést tűzfalnaplóinkból, és a kimenet eredményeit használhatjuk például SYN-flood naplókból, hogy azonosítsuk a támadó IP címet, és az egyéni szkript segítségével automatikusan blokkolhatjuk a tűzfalunkon az IP-jét.

Egy másik példa egy python parancsfájl segítségével az Active Directory lekérdezése, oly módon, hogy azonosítsuk a disztribuciós lista tagjait egy olyan gyanús levél esetén, amely több ilyen listát célozhat meg és ezesetben szeretnénk megtudni, hogy pontosan mely embereket érinti. Ebben a forgatókönyvben automatizálhatunk egy e-mail küldő parancsfájlt, hogy értesítsük ezeket a személyeket a gyanús levélről, ezzel megelőzve az esetleges további problémákat.

Ez a rövid bejegyzés azért jött létre, hogy bemutassa a Splunk átalakítását SIEM-ből egy úgymond fél-SOAR eszközzé.

Top