在當(dāng)前復(fù)雜的網(wǎng)絡(luò)安全環(huán)境中，企業(yè)面臨著日益增長的高級持續(xù)性威脅（APT）。

Splunk 作為全球領(lǐng)先的安全信息與事件管理 （SIEM） 平臺(tái)，具備強(qiáng)大的日志收集、分析和可視化能力。然而，面對不斷演變的高級持續(xù)性威脅，檢測規(guī)則需要持續(xù)優(yōu)化和更新，這往往是企業(yè)在日常安全運(yùn)營中面臨的主要挑戰(zhàn)之一。

為幫助企業(yè)充分發(fā)揮 Splunk 平臺(tái)在威脅檢測與關(guān)聯(lián)分析方面的強(qiáng)大能力，持續(xù)優(yōu)化及擴(kuò)展 Use Case 和檢測規(guī)則，Splunk 與塞訊驗(yàn)證聯(lián)合推出解決方案，旨在通過三個(gè)關(guān)鍵方面顯著提升客戶的威脅狩獵能力。

本文將詳細(xì)探討這一方案的技術(shù)細(xì)節(jié)和實(shí)際應(yīng)用。

一、驗(yàn)證和豐富安全檢測規(guī)則

塞訊驗(yàn)證通過先進(jìn)的攻擊模擬技術(shù)，幫助企業(yè)全面提升檢測規(guī)則的有效性。

1. 驗(yàn)證現(xiàn)有 Use Case 的有效性

在實(shí)際應(yīng)用中，安全團(tuán)隊(duì)往往難以確認(rèn)現(xiàn)有檢測規(guī)則是否能有效識(shí)別最新的攻擊手法。塞訊驗(yàn)證通過系統(tǒng)化的測試方法，幫助企業(yè)驗(yàn)證 Splunk Enterprise Security 中的檢測規(guī)則，確保其有效性。

? 實(shí)際應(yīng)用示例：

以 Log4j 漏洞（CVE-2021-44228）為例，塞訊驗(yàn)證提供近 200 種攻擊模擬規(guī)則，全面驗(yàn)證檢測規(guī)則的覆蓋范圍：

通過這些模擬測試，企業(yè)可以：

• 及時(shí)發(fā)現(xiàn)檢測規(guī)則的盲點(diǎn)

• 驗(yàn)證新增規(guī)則的有效性

• 確保防護(hù)措施的及時(shí)更新

在 Splunk Enterprise Security 中，相關(guān)的默認(rèn) Use Case（"Detecting Log4j remote code execution"）可以通過這些對應(yīng)規(guī)則的模擬與充分驗(yàn)證，確保能夠及時(shí)有效檢測相應(yīng)的攻擊變種。

Source URL:

https://lantern.splunk.com/Security/UCE/Guided_Insights/Threat_hunting/Detecting_Log4j_remote_code_execution

2. 識(shí)別潛在的檢測盲點(diǎn)

安全威脅往往會(huì)利用防護(hù)體系的薄弱環(huán)節(jié)發(fā)起攻擊。通過對比模擬攻擊的完整攻擊鏈與實(shí)際檢測效果，可以有效識(shí)別潛在的防護(hù)短板。

? 實(shí)際應(yīng)用示例：

以 DNS 隧道檢測為例，僅分析 DNS 服務(wù)器日志可能無法完全識(shí)別數(shù)據(jù)泄露行為。通過引入更多維度的數(shù)據(jù)源分析，如 DNS 流量特征、通信行為模式等，可以顯著提升檢測的覆蓋度與準(zhǔn)確性。

塞訊驗(yàn)證通過模擬各類惡意域名解析和 DNS 隧道數(shù)據(jù)泄露場景，幫助企業(yè)建立更全面的檢測機(jī)制：

Splunk Enterprise Security 中默認(rèn)的 Use Case：Monitoring a network for DNS exfiltration

Source URL:

https://lantern.splunk.com/Security/UCE/Guided_Insights/Threat_hunting/Monitoring_a_network_for_DNS_exfiltration

3. 提供額外的檢測規(guī)則建議

基于最新的 MITRE ATT&CK 框架和威脅情報(bào)，解決方案可以為 Splunk Enterprise Security 提供更豐富的檢測規(guī)則。

? 實(shí)際應(yīng)用示例：

針對新出現(xiàn)的 DarkSide 變種與攻擊，塞訊驗(yàn)證提供專門的攻擊模擬，助力 Splunk 增加數(shù)據(jù)源分析，包括網(wǎng)絡(luò)流量分析規(guī)則（只分析終端側(cè)的數(shù)據(jù)源是不夠全面的）和行為檢測邏輯。

塞訊驗(yàn)證提供針對 Darkside 勒索團(tuán)伙的攻擊模擬：

A. 命令與控制戰(zhàn)術(shù)（此勒索團(tuán)伙使用到的若干技術(shù)）

B. 信息收集戰(zhàn)術(shù)（此勒索團(tuán)伙使用到的若干技術(shù)）

C. 持久化戰(zhàn)術(shù)（此勒索團(tuán)伙使用到的若干技術(shù)）

D. 命令與控制戰(zhàn)術(shù)（此勒索團(tuán)伙使用到的“入站工具傳輸”技術(shù)）

E. 防御繞過戰(zhàn)術(shù)（此勒索團(tuán)伙使用到的繞過技術(shù)）

F. 破壞影響戰(zhàn)術(shù)（此勒索團(tuán)伙使用到的若干技術(shù)）

Splunk Enterprise Security 中默認(rèn)的 Use Case：
Detecting DarkSide ransomware

Source URL:

https://lantern.splunk.com/Security/UCE/Guided_Insights/Threat_hunting/Detecting_DarkSide_ransomware

?? 新增加 Splunk 檢測規(guī)則示例：

 Process_Command_Line="*delete shadows*")

二、基于 APT 場景的攻擊模擬構(gòu)建高級威脅畫像

高級持續(xù)性威脅（APT）因其隱蔽性和持久性特點(diǎn)，對企業(yè)安全防護(hù)體系提出了更高要求。聯(lián)合解決方案通過以下方式構(gòu)建全面的 APT 威脅防護(hù)體系：

1. 模擬復(fù)雜的 APT 攻擊鏈

• 技術(shù)細(xì)節(jié)：塞訊驗(yàn)證基于真實(shí) APT 組織的戰(zhàn)術(shù)、技術(shù)和過程（TTPs）構(gòu)建完整的攻擊場景。

• 實(shí)際操作：模擬 APT28 的典型攻擊流程，包括初始訪問、權(quán)限提升、橫向移動(dòng)和數(shù)據(jù)泄漏等階段。

2. 捕獲和分析詳細(xì)日志

• 數(shù)據(jù)收集：Splunk 平臺(tái)配置高級的數(shù)據(jù)收集策略，包括網(wǎng)絡(luò)流量、系統(tǒng)日志、應(yīng)用日志和用戶活動(dòng)等多維度數(shù)據(jù)。

• 分析方法：利用 Splunk 的機(jī)器學(xué)習(xí)能力，如異常檢測算法，識(shí)別攻擊鏈中的異常模式。

3. 構(gòu)建全面的 APT 組織畫像

• 畫像組成：包括技術(shù)指標(biāo)（IoCs）、攻擊工具特征、網(wǎng)絡(luò)行為模式和數(shù)據(jù)泄漏技術(shù)等。

• 應(yīng)用價(jià)值：安全團(tuán)隊(duì)可以基于這些畫像，在 Splunk 中創(chuàng)建更精準(zhǔn)的相關(guān)性規(guī)則和行為分析模型。

塞訊驗(yàn)證模擬覆蓋全攻擊鏈 APT 場景：

A. 初始訪問戰(zhàn)術(shù)（此 APT 組織使用到的若干技術(shù)）

B. 持久化戰(zhàn)術(shù)（此 APT 組織使用到的若干技術(shù)）

C. 命令與控制戰(zhàn)術(shù)（此 APT 組織使用到的“入站工具傳輸”技術(shù)）

D. 橫向移動(dòng)戰(zhàn)術(shù)（此 APT 組織使用到的若干技術(shù)）

E. 信息收集戰(zhàn)術(shù)（此 APT 組織使用到的若干技術(shù)）

F. 防御繞過戰(zhàn)術(shù)（此 APT 組織使用到的若干技術(shù)）

G. 命令與控制戰(zhàn)術(shù)（此 APT 組織使用到的若干技術(shù)）

H. 數(shù)據(jù)泄露戰(zhàn)術(shù)（此 APT 組織使用到的若干技術(shù)）

三、彌補(bǔ)安全產(chǎn)品疏漏，Splunk 平臺(tái)檢測能力再升級

即使是最先進(jìn)的安全產(chǎn)品也可能存在檢測盲區(qū)，或被攻擊者針對性防御繞過。

Splunk 非常建議廣大使用者開啟 Splunk ES Content Update 來不斷更新檢測規(guī)則，提升威脅檢測的 Use Case 覆蓋度與對應(yīng)規(guī)則的豐富度。

另外，借助塞訊安全度量驗(yàn)證平臺(tái)，可以通過以下方式實(shí)現(xiàn) Splunk 平臺(tái)檢測能力的進(jìn)一步提升：

1. 識(shí)別現(xiàn)有安全產(chǎn)品的檢測盲區(qū)

• 測試方法：使用最新的攻擊技術(shù)，如無文件攻擊、供應(yīng)鏈攻擊、防御繞過攻擊等，對企業(yè)現(xiàn)有安全架構(gòu)進(jìn)行全面評估。

• 實(shí)例說明：發(fā)現(xiàn)某新型勒索軟件能夠繞過企業(yè)的 EDR 解決方案。

2. 提供詳細(xì)的技術(shù)特征

• 特征提取：對每個(gè)發(fā)現(xiàn)的漏檢威脅進(jìn)行深入分析，提取其獨(dú)特的技術(shù)特征和行為模式。

• 實(shí)際應(yīng)用：為繞過 EDR 的勒索軟件提供詳細(xì)的行為分析，包括操作系統(tǒng)配置、文件系統(tǒng)操作、注冊表修改和網(wǎng)絡(luò)連接模式等。

3. 在 Splunk 平臺(tái)上添加針對性規(guī)則

• 規(guī)則開發(fā)：基于提取的特征，開發(fā)專門的 Splunk 檢測規(guī)則，通常包括 SPL（Search Processing Language）查詢和相關(guān)的觸發(fā)條件。

• 部署示例：針對前述勒索軟件，在 Splunk 中部署基于操作系統(tǒng)活動(dòng)和網(wǎng)絡(luò)行為的復(fù)合檢測規(guī)則。

塞訊驗(yàn)證攻擊庫規(guī)則示例：

新增加 Splunk 檢測規(guī)則示例：

(source="WinEventLog:Security" EventCode="4688"(Process_Command_Line="*COMPlus_ETWEnabled=0*"))

Splunk 和塞訊驗(yàn)證的聯(lián)合方案通過系統(tǒng)性的攻擊模擬、全面的日志分析和精準(zhǔn)的規(guī)則優(yōu)化，顯著提升了企業(yè)的威脅狩獵能力。這種方法不僅能有效應(yīng)對當(dāng)前的安全挑戰(zhàn)，還為企業(yè)建立了一個(gè)可持續(xù)進(jìn)化的安全體系。在日益復(fù)雜的網(wǎng)絡(luò)安全環(huán)境中，這種基于實(shí)戰(zhàn)的、持續(xù)優(yōu)化的方法無疑將成為企業(yè)抵御高級威脅的關(guān)鍵武器。