Splunkと一緒に。簡易EDRツールとしてのsysmonの真価に迫る ~その2: 導入編~ - Qiita
導入編(sysmonの展開 & Splunkへのデータ取込) 前回の概要編はこちら まずsysmonをwindows端末にインストール Client: Windows 7 and higher. Server: Windows Server 2008 R2 and higher 次にSplunkのUniversal Forwarder(以下、UF)をインストール 最後にDeployment Serverを使ってsysmonログ収集のためのappを配布 Overview 通信要件の確認 管理系通信(8089番): UFからDeployment Serverにpollingして新しいコンフィグレーション(app/add-on)があればDLする。 UF転送(9997番): UFからSplunkのIDXに対してログを転送する際に使うポート。転送時の通信ボリュームを圧縮する方法もある。 まずsysm
BOTSv2データを使ってFraud監視ダッシュボードを作ってみる - Qiita
はじめに 前に、書いた以下記事を見ていただいた方へ。実際に本番環境で試す前にそもそもstreamデータってどれほど見えるものなのか触れてみたいなという方向けにSAMPLEデータとその使い方の紹介です AWS VPC Traffic Mirroringを使ってFraud監視をスタート! 会員系Webサイトに対する不正ログインの監視や不正決済などの兆候を捉えるためにSplunk Stream Appによるhttpトラフィックの分析が便利です 認証イベントが記録されたアプリケーションのログがすぐに用意できない(アプリ改修が必要)などの状況においてStreamを使ってネットワークレイヤーでキャプチャして監視ができるため もちろん、Webサイトは通常httpsで提供しているので、SSLアクセラレータなどで復号済みのhttpトラフィックをモニターする必要はあります そこで、Splunk Streamで
Threat HuntingとMITRE ATT&CKとSplunk - Qiita
はじめに Splunkをセキュリティ監視で利用する際に、SSEやESCU、Threat Intelligenceといった攻撃を検知するためのテクノロジーが用意されている ただし、SSEやESCUのappに含まれるスケジュールサーチ条件を単純に全部有効化しても有効活用は難しい。理由は。 ルール一つ一つの意味を理解し、過検知を緩和するチューニングが必要 マシンスペックの限界(同時サーチ実行数の上限)を迎えるから いきなり100点の監視を目指す前に、自分たちのできる所から監視レベルを強化していくために参考となる以下のフレームワークを元にSplunkの各種appや機能をまとめてみた MITRE ATT&CK The Pyramid of Pain 注意:個人の見解です 対策の考え方 参考となるフレームワークの一つとしてSqrrl社※の提唱するThreat Hunting Maturity Mode
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
