Splunk - Security Content

Splunk - Security Content - 图1
欢迎使用 Splunk 安全内容
该项目使您可以访问我们的分析故事库、提供战术、技术和程序 (TTP) 背景的安全指南,映射到 MITRE ATT&CK 框架、洛克希德马丁网络杀伤链和 CIS 控制。它们包括 Splunk 搜索、机器学习算法和 Splunk Phantom 剧本(如果可用)——所有这些都旨在协同工作以检测、调查和响应威胁。

获取内容🛡

最新的 Splunk 安全内容可通过以下方式获取:

上证所应用

获取最新版本的 Splunk Security Essentials App 并将其安装在 Splunk 实例上。您可以从splunkbase下载它,它是 Splunk 支持的应用程序。SSE Splunk 应用今天支持安全内容发布的推送更新,这是获取内容的首选方式!

ESCU 应用程序

获取最新版本的 DA-ESS-ContentUpdate.spl 并将其安装在 Splunk 实例上。或者,您可以从splunkbase下载它,它目前是 Splunk 支持的应用程序。

API

  1. curl -s https://content.splunkresearch.com | jq
  2. {
  3.   "hello": "welcome to Splunks Research security content api"
  4. }

用法🧰

contentctl.py

内容控制工具允许您通过以下操作操作 Splunk 安全内容:

  1. new - 创建新内容(检测、故事、基线)
  2. validate - 验证书面内容
  3. generate - 为不同平台生成部署包 (splunk_app)

    先决条件

    确保使用 python 3.9 版:
    1. git clone git@github.com:splunk/security_content.git
    2. cd security_content
    3. pip install virtualenv
    4. virtualenv venv
    5. source venv/bin/activate
    6. pip install -r requirements.txt

    【WIKI】工具的架构细节

    创建一个新的检测

    1. python contentctl.py new
    如需更深入地了解如何编写内容,请参阅我们的指南

    创建一个新的分析故事

    1. python contentctl.py new -t story

    验证书面内容 一个新的分析故事

    1. python contentctl.py --verbose validate

    从当前内容生成 splunk 应用程序

    1. python contentctl.py --path . --verbose generate --output package

    MITRE ATT&CK⚔️

    检测覆盖率

    要查看所有使用 MITRE 技术标记的内容的最新检测覆盖图,请访问MITRE techniques
    下面是我们目前有一些检测覆盖范围的技术的快照。蓝色的阴影越深,我们对这种特定技术的检测就越多。该地图会在每个版本中自动更新,并从generate-coverage-map.py生成:
    Splunk - Security Content - 图2

    根据您的环境定制🏗

    自定义您的内容以更改检测运行的频率,或者您的环境中sysmon的正确源类型是什么,请遵循本指南

    分析故事中有什么?🗺

    一个完整的用例,专门用于检测、调查和响应特定威胁,如凭证转储勒索软件。一组检测和一个响应组成一个分析故事,它们与标签相关联analytic_story: <name>

    🐷🐷🐷内容部分🧩

  • detections/:包含迄今为止的所有 209 个检测搜索并且还在增长。

    规则文件,非检索语句 但是应该可以把“search”抽离出来作为检索语句

  • stories/:所有作为组检测或也称为用例的分析故事

    可能发生的攻击,攻击描述

  • deployments/:所有内容的计划和警报操作的配置

  • playbooks/:用于响应特定用例或威胁的事件响应手册/工作流。

    JSON格式,actions字段内

  • response_tasks/:响应中的各个步骤,帮助用户通过 Splunk 搜索进行调查,通过虚拟剧本自动化,并通过仪表板威胁可视化。

  • baselines/:在检测运行之前必须执行的搜索。它对于在对收集的数据运行检测之前收集系统上的数据特别有用。
  • dashboards/:任务控制仪表板的 JSON 定义,用作响应任务。目前未使用。
  • macros/:实现 Splunk 的搜索宏,常用搜索模式的快捷方式,如 sysmon 源类型。更多关于如何使用宏来自定义下面的内容。

  • lookups/:实现 Splunk 的查找,通常提供静态值列表,如常用的勒索软件扩展。

    就是字符串,不是检索语句

  • security_content_automation/:它包含用于使用相关支持的 TA 丰富检测的脚本,还包含用于在每个标签发布时将发布版本发布到Pre-QA 工件的脚本。

    贡献🥰

    我们欢迎来自社区的反馈和贡献!有关如何参与的更多信息,请参阅我们对项目的贡献。

    支持💪

    请使用GitHub 问题跟踪器提交错误或请求功能。
    如果您有疑问或需要支持,您可以:

  • Splunk Answers发布问题

  • 加入Splunk Slack 频道中的#security-research
  • 如果您是拥有有效支持权利合同的 Splunk Enterprise 客户并且有与 Splunk 相关的问题,您还可以在https://www.splunk.com/支持门户上打开支持案例