Splunk und das Triage Tool THOR

Copyright*©*2014*Splunk,*Inc.

Copyright* ©*2014*Splunk,*Inc.

Splunk und*das*Triage*

Tool*THOR


Ihr Webcast*Team

2

Matthias'MaierSenior*Sales*Engineer

[email protected]

Michael'HochenriederSenior*Information*Security*Consultant

[email protected]

Florian'RothSenior*Information*Security*Engineer

[email protected]


Agenda

3

• Splunk kurzer Überblick

• Beispiele*von*APT’s

• Einsatzzweck und*Technologieansatz

• THOR*in*Splunk

• Best*Practice*Approach

• Q&A


GPS,*RFID,*Hypervisor,* Web

Servers,*Email,*Messaging,

Clickstreams,*Mobile,*

Telephony,* IVR,*Databases*

Splunk:*The*Engine*For*Machine*Data

Report'and'

analyze

Custom'dashboards

Monitor'and'alert

Ad'hoc'search

Splunk'storage

Real=timeMachine'Data

Sensors,* Telematics,

Storage,* Servers,

Security* devices,*

Desktops ,* CDRs

DeveloperPlatform

Other'Big'Data'stores

4


Splunk*is*Used*Across*IT*and*the*Business

IT

Ops

Security Compliance

App

Mgmt

Web*

Intelligence

Business*

Analytics

5


Splunk Security*Use*Cases

More%than%a%SIEM;%a%Security%Intelligence%Platform

6

IT

Operations

Applicatio

n*Delivery

Business*

Analytics

Industrial*

Data*and*

Internet*of*

Things

Business*

Analytics

Industrial*

Data*and*

Internet*of*

Things

Security,**

Compliance,

and*Fraud

SECURITY*&**********

COMPLIANCE*

REPORTING

MONITORING*

OF*KNOWN*

THREATS

ADVANCED*

THREAT*

DETECTION

INCIDENT*

INVESTIGATIO

NS*&*

FORENSICS

FRAUD*

DETECTION

INSIDER*

THREAT

AV*CLEAN*

UP*

VERIFICATIO

N

USER*ACTIVITY*

MONITORING

ALERT*&*

MALWARE

VALIDATIO

N

MALWARE*&*

MALICIOUS*

CALLBACKS

EMAIL*ATTACK*

DETECTION


120+'security'appsSplunk'App'for'Enterprise'Security

Products:*Splunk*Enterprise*+*Apps

Palo*Alto*

Networks

NetFlow*Logic

FireEye

Blue*Coat*

Proxy*SG

THOR

Cisco*Security*

Suite

Active*

Directory

F5*Security Juniper

Sourcefire

Snort

Asset*

Discovery

7


SPLUNK*Webcast:*

Ein*neuer*Weg*zur*Erkennung*von*APT’s

Splunk*und*APTHDetection Tool*THOR*

Florian*Roth

Michael*Hochenrieder

24.04.2015

SPLUNK Webcast: Ein neuer Weg zur Erkennung von APT’sSplunk und APT-Detection Tool THOR

Florian RothMichael Hochenrieder 24.04.2015

Ihre Gastgeber

24.04.2015 Folie 2

Florian RothSenior Information Security Engineer bsk Consulting GmbH

Michael HochenriederSenior Information Security ConsultantHvS-Consulting AG

Restricted: for project use only

Inhalte

Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren

Einsatzzweck und Technologieansatz des APT-Scanners THOR

Wie Sie die Informationen von THOR in Splunk auswerten

Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen

Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“Ihre Systeme auf APT’s scannen könnenÆ Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert

24.04.2015 Folie 3Restricted: for project use only

Inhalte







Definition Advanced Persistent Threats (APT)

Advanced (fortgeschritten) • erhebliche technische Kenntnisse der Angreifer• straff organisierter Angriff auf spezifische Ziele• unauffällig

Persistent (andauernd)• Kombination von mehreren Angriffsvektoren• langfristig angelegt, um Ziel zu erreichen

Threat (Bedrohung)• Abfluss von vertraulichen Informationen• (Angriffe auf kritische Infrastrukturen)

Folie 524.04.2015 Restricted: for project use only

APT-Angriffsvektoren

Angreifer

Social Engineering

MenschenSysteme

AutomatisierteAngriffe

Schadsoftware DoS Attacken

Ausnutzen von Schwachstellen

Advanced Persistent Threat

Spear Phishing


Angriffsziel Systeme

Niederlassung A Niederlassung B

Zentrale


Beispiel: Persistent Access


Inhalte







Warum ein APT-Scanner?

24.04.2015 Folie 11

Zuverlässige Früherkennung Schnelle Reaktion Effektive Schadensbegrenzung


APT-Scanner „THOR“

Scannt auf Hacktools und Angreifer-aktivitäten (Triage Tool)Portable – wird nicht installiert

Läuft auf allen Windows- und ausgewählten Linux-Plattformen ohne zusätzliche Anforderungen

Anpassbar an die Verfahrensweise und Werkzeuge der Angreifer

Scoring System zur Bewertung von Dateien, um

auch bisher unbekannte Malware zu erkennen

Diverse ExportmöglichkeitenIndividuelle Konfiguration und Drosselungdes Scanprozesses möglich

Kann zentral über GPO / Splunk-Forwarder etc. verteilt werden


Abgrenzung zu anderen Tools


Funktionen und Signaturen


Command Line Output


HTML Report Output


Inhalte







Warum Splunk?

Hohe Flexibilität bei der Indizierung von vielfältigen Meldungen(jedes THOR Modul schreibt unterschiedliche Meldungen)Schnelles und einfaches Filtern von False PositivesEinfaches Einbinden der von THOR generierten Output-Formate (Syslog, Textlog)THOR eigene App / Add-onFeatures zur Anomalie-Erkennung (Big Data-Ansatz: Schnelle Erzeugung von Tabellen, Filtern, Sortierungen, Aggregationen)


Auswertung von THOR-Ergebnissen in Splunk

Security-Analysten-KnowHow / forensische Expertise ist notwendig, Erfahrung mit APT hilfreichGgf. zahlreiche als „verdächtig“ gemeldete Objekte (mögliche False Positives), abhängig von Firma und StandortAlarmmeldungen bedeuten nicht unbedingt eine KompromittierungHilfreich ist oftmals das „Ansehen“ von Dateien, die gemeldet wurden


THOR Splunk App


Inhalte







Rollout von THOR


Rollout von THOR via SPLUNK

Folie 2324.04.2015

THOR Add-on enthält Skript, das THOR von einem Netzwerkpfad startet

THOR Logs werden als ScriptedInput auf den Forwarderneingelesen

Viele Vorteile gegenüber Syslog:– Gesicherte Übertragung (TCP, SSL)

– Keine Größenbeschränkung

– Caching

– Kein zusätzlicher, offener Port


Inhalte







THOR-Webseite: https://www.apt-detection.com

24.04.2015 Folie 25

Special THOR Trial 21 (ca. 80% der IoCs) für SPLUNK Webinar-Teilnehmer: https://www.apt-detection.com/splunk-thor-request-form


https://www.apt-detection.com/splunk-thor-request-form

Best Practice Ansatz

24.04.2015 Folie 26

Planung

• 1) Anforderung „Special THOR Trial 21“ für SPLUNK Webinar-Teilnehmer:https://www.apt-detection.com/splunk-thor-request-form

• 2) Setup THOR-App for SPLUNK:https://splunkbase.splunk.com/app/1717/

• 3) Test des Rollouts von THOR (via Splunk bzw. Windows GPO)

Scan

• Repräsentativer Scan von ausgewählten Systemen, z.B. DMZ-Server, Domain Controller, File-Server, Mail-Server, MDM-Server bzw. Workstations von kritischen Key-Usern z.B. Admins, Entwickler etc.

• Zentrales Reporting in THOR-App for SPLUNK

Analyse

• Auswertung durch qualifizierte Security-Analysten / CERT-Mitarbeiter• Filterung von False Positives• Nachverfolgung von Alarmen / Warnungen

• Im Zweifelsfall: Detail-Analysen (z.B. Malware-Analyse, Forensik)Æ Ggf. Input für neue Signaturen (IoCs) Æ Re-Scan


https://www.apt-detection.com/splunk-thor-request-form

https://splunkbase.splunk.com/app/1717/

Kontakt: [email protected] Infos: https://www.apt-detection.com

mailto:[email protected]

https://www.apt-detection.com/


Next*Steps


Contact*us

10

Matthias'MaierSenior*Sales*Engineer

[email protected]

Michael'HochenriederSenior*Information*Security*Consultant

[email protected]

Florian'RothSenior*Information*Security*Engineer

[email protected]

„Special*THOR*Trial*21“*für*SPLUNK*WebinarHTeilnehmer:

https://www.aptHdetection.com/splunkHthorHrequestHform


Thank you!

Splunk und das Triage Tool THOR

Software

Transcript of Splunk und das Triage Tool THOR