Splunk - Security Content
欢迎使用 Splunk 安全内容
该项目使您可以访问我们的分析故事库、提供战术、技术和程序 (TTP) 背景的安全指南,映射到 MITRE ATT&CK 框架、洛克希德马丁网络杀伤链和 CIS 控制。它们包括 Splunk 搜索、机器学习算法和 Splunk Phantom 剧本(如果可用)——所有这些都旨在协同工作以检测、调查和响应威胁。
获取内容🛡
上证所应用
获取最新版本的 Splunk Security Essentials App 并将其安装在 Splunk 实例上。您可以从splunkbase下载它,它是 Splunk 支持的应用程序。SSE Splunk 应用今天支持安全内容发布的推送更新,这是获取内容的首选方式!
ESCU 应用程序
获取最新版本的 DA-ESS-ContentUpdate.spl 并将其安装在 Splunk 实例上。或者,您可以从splunkbase下载它,它目前是 Splunk 支持的应用程序。
API
curl -s https://content.splunkresearch.com | jq
{
"hello": "welcome to Splunks Research security content api"
}
用法🧰
contentctl.py
内容控制工具允许您通过以下操作操作 Splunk 安全内容:
- new - 创建新内容(检测、故事、基线)
- validate - 验证书面内容
- generate - 为不同平台生成部署包 (splunk_app)
先决条件
确保使用 python 3.9 版:git clone git@github.com:splunk/security_content.git
cd security_content
pip install virtualenv
virtualenv venv
source venv/bin/activate
pip install -r requirements.txt
【WIKI】工具的架构细节
创建一个新的检测
如需更深入地了解如何编写内容,请参阅我们的指南。python contentctl.py new
创建一个新的分析故事
python contentctl.py new -t story
验证书面内容 一个新的分析故事
python contentctl.py --verbose validate
从当前内容生成 splunk 应用程序
python contentctl.py --path . --verbose generate --output package
MITRE ATT&CK⚔️
检测覆盖率
要查看所有使用 MITRE 技术标记的内容的最新检测覆盖图,请访问MITRE techniques。
下面是我们目前有一些检测覆盖范围的技术的快照。蓝色的阴影越深,我们对这种特定技术的检测就越多。该地图会在每个版本中自动更新,并从generate-coverage-map.py生成:
根据您的环境定制🏗
自定义您的内容以更改检测运行的频率,或者您的环境中sysmon的正确源类型是什么,请遵循本指南。分析故事中有什么?🗺
一个完整的用例,专门用于检测、调查和响应特定威胁,如凭证转储或勒索软件。一组检测和一个响应组成一个分析故事,它们与标签相关联analytic_story: <name>
。🐷🐷🐷内容部分🧩
detections/:包含迄今为止的所有 209 个检测搜索并且还在增长。
规则文件,非检索语句 但是应该可以把“search”抽离出来作为检索语句
stories/:所有作为组检测或也称为用例的分析故事
可能发生的攻击,攻击描述
deployments/:所有内容的计划和警报操作的配置
playbooks/:用于响应特定用例或威胁的事件响应手册/工作流。
JSON格式,actions字段内
response_tasks/:响应中的各个步骤,帮助用户通过 Splunk 搜索进行调查,通过虚拟剧本自动化,并通过仪表板威胁可视化。
- baselines/:在检测运行之前必须执行的搜索。它对于在对收集的数据运行检测之前收集系统上的数据特别有用。
- dashboards/:任务控制仪表板的 JSON 定义,用作响应任务。目前未使用。
- macros/:实现 Splunk 的搜索宏,常用搜索模式的快捷方式,如 sysmon 源类型。更多关于如何使用宏来自定义下面的内容。
lookups/:实现 Splunk 的查找,通常提供静态值列表,如常用的勒索软件扩展。
就是字符串,不是检索语句
security_content_automation/:它包含用于使用相关支持的 TA 丰富检测的脚本,还包含用于在每个标签发布时将发布版本发布到Pre-QA 工件的脚本。
贡献🥰
我们欢迎来自社区的反馈和贡献!有关如何参与的更多信息,请参阅我们对项目的贡献。
支持💪
请使用GitHub 问题跟踪器提交错误或请求功能。
如果您有疑问或需要支持,您可以:- 加入Splunk Slack 频道中的#security-research室
- 如果您是拥有有效支持权利合同的 Splunk Enterprise 客户并且有与 Splunk 相关的问题,您还可以在https://www.splunk.com/支持门户上打开支持案例