Splunk und das Triage Tool THOR
Transcript of Splunk und das Triage Tool THOR
Copyright*©*2014*Splunk,*Inc.
Copyright* ©*2014*Splunk,*Inc.
Splunk und*das*Triage*
Tool*THOR
Copyright*©*2014*Splunk,*Inc.
Ihr Webcast*Team
2
Matthias'MaierSenior*Sales*Engineer
Michael'HochenriederSenior*Information*Security*Consultant
Florian'RothSenior*Information*Security*Engineer
Copyright*©*2014*Splunk,*Inc.
Agenda
3
• Splunk kurzer Überblick
• Beispiele*von*APT’s
• Einsatzzweck und*Technologieansatz
• THOR*in*Splunk
• Best*Practice*Approach
• Q&A
Copyright*©*2014*Splunk,*Inc.
GPS,*RFID,*Hypervisor,* Web
Servers,*Email,*Messaging,
Clickstreams,*Mobile,*
Telephony,* IVR,*Databases*
Splunk:*The*Engine*For*Machine*Data
Report'and'
analyze
Custom'dashboards
Monitor'and'alert
Ad'hoc'search
Splunk'storage
Real=timeMachine'Data
Sensors,* Telematics,
Storage,* Servers,
Security* devices,*
Desktops ,* CDRs
DeveloperPlatform
Other'Big'Data'stores
4
Copyright*©*2014*Splunk,*Inc.
Splunk*is*Used*Across*IT*and*the*Business
IT
Ops
Security Compliance
App
Mgmt
Web*
Intelligence
Business*
Analytics
5
Copyright*©*2014*Splunk,*Inc.
Splunk Security*Use*Cases
More%than%a%SIEM;%a%Security%Intelligence%Platform
6
IT
Operations
Applicatio
n*Delivery
Business*
Analytics
Industrial*
Data*and*
Internet*of*
Things
Business*
Analytics
Industrial*
Data*and*
Internet*of*
Things
Security,**
Compliance,
and*Fraud
SECURITY*&**********
COMPLIANCE*
REPORTING
MONITORING*
OF*KNOWN*
THREATS
ADVANCED*
THREAT*
DETECTION
INCIDENT*
INVESTIGATIO
NS*&*
FORENSICS
FRAUD*
DETECTION
INSIDER*
THREAT
AV*CLEAN*
UP*
VERIFICATIO
N
USER*ACTIVITY*
MONITORING
ALERT*&*
MALWARE
VALIDATIO
N
MALWARE*&*
MALICIOUS*
CALLBACKS
EMAIL*ATTACK*
DETECTION
Copyright*©*2014*Splunk,*Inc.
120+'security'appsSplunk'App'for'Enterprise'Security
Products:*Splunk*Enterprise*+*Apps
Palo*Alto*
Networks
NetFlow*Logic
FireEye
Blue*Coat*
Proxy*SG
THOR
Cisco*Security*
Suite
Active*
Directory
F5*Security Juniper
Sourcefire
Snort
Asset*
Discovery
7
Copyright*©*2014*Splunk,*Inc.
SPLUNK*Webcast:*
Ein*neuer*Weg*zur*Erkennung*von*APT’s
Splunk*und*APTHDetection Tool*THOR*
Florian*Roth
Michael*Hochenrieder
24.04.2015
SPLUNK Webcast: Ein neuer Weg zur Erkennung von APT’sSplunk und APT-Detection Tool THOR
Florian RothMichael Hochenrieder 24.04.2015
Ihre Gastgeber
24.04.2015 Folie 2
Florian RothSenior Information Security Engineer bsk Consulting GmbH
Michael HochenriederSenior Information Security ConsultantHvS-Consulting AG
Restricted: for project use only
Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren
Einsatzzweck und Technologieansatz des APT-Scanners THOR
Wie Sie die Informationen von THOR in Splunk auswerten
Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen
Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“Ihre Systeme auf APT’s scannen könnenÆ Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert
24.04.2015 Folie 3Restricted: for project use only
Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren
Einsatzzweck und Technologieansatz des APT-Scanners THOR
Wie Sie die Informationen von THOR in Splunk auswerten
Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen
Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“Ihre Systeme auf APT’s scannen könnenÆ Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert
24.04.2015 Folie 4Restricted: for project use only
Definition Advanced Persistent Threats (APT)
Advanced (fortgeschritten) • erhebliche technische Kenntnisse der Angreifer• straff organisierter Angriff auf spezifische Ziele• unauffällig
Persistent (andauernd)• Kombination von mehreren Angriffsvektoren• langfristig angelegt, um Ziel zu erreichen
Threat (Bedrohung)• Abfluss von vertraulichen Informationen• (Angriffe auf kritische Infrastrukturen)
Folie 524.04.2015 Restricted: for project use only
APT-Angriffsvektoren
Angreifer
Social Engineering
MenschenSysteme
AutomatisierteAngriffe
Schadsoftware DoS Attacken
Ausnutzen von Schwachstellen
Advanced Persistent Threat
Spear Phishing
Folie 624.04.2015 Restricted: for project use only
APT-Angriffsvektoren
Angreifer
Social Engineering
MenschenSysteme
AutomatisierteAngriffe
Schadsoftware DoS Attacken
Ausnutzen von Schwachstellen
Advanced Persistent Threat
Spear Phishing
Folie 724.04.2015 Restricted: for project use only
Angriffsziel Systeme
Niederlassung A Niederlassung B
Zentrale
Folie 824.04.2015 Restricted: for project use only
Beispiel: Persistent Access
Folie 924.04.2015 Restricted: for project use only
Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren
Einsatzzweck und Technologieansatz des APT-Scanners THOR
Wie Sie die Informationen von THOR in Splunk auswerten
Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen
Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“Ihre Systeme auf APT’s scannen könnenÆ Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert
24.04.2015 Folie 10Restricted: for project use only
Warum ein APT-Scanner?
24.04.2015 Folie 11
Zuverlässige Früherkennung Schnelle Reaktion Effektive Schadensbegrenzung
Restricted: for project use only
APT-Scanner „THOR“
Scannt auf Hacktools und Angreifer-aktivitäten (Triage Tool)Portable – wird nicht installiert
Läuft auf allen Windows- und ausgewählten Linux-Plattformen ohne zusätzliche Anforderungen
Anpassbar an die Verfahrensweise und Werkzeuge der Angreifer
Scoring System zur Bewertung von Dateien, um
auch bisher unbekannte Malware zu erkennen
Diverse ExportmöglichkeitenIndividuelle Konfiguration und Drosselungdes Scanprozesses möglich
Kann zentral über GPO / Splunk-Forwarder etc. verteilt werden
Folie 1224.04.2015 Restricted: for project use only
Abgrenzung zu anderen Tools
Folie 1324.04.2015 Restricted: for project use only
Funktionen und Signaturen
Folie 1424.04.2015 Restricted: for project use only
Command Line Output
Folie 1524.04.2015 Restricted: for project use only
HTML Report Output
Folie 1624.04.2015 Restricted: for project use only
Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren
Einsatzzweck und Technologieansatz des APT-Scanners THOR
Wie Sie die Informationen von THOR in Splunk auswerten
Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen
Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“Ihre Systeme auf APT’s scannen könnenÆ Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert
24.04.2015 Folie 17Restricted: for project use only
Warum Splunk?
Hohe Flexibilität bei der Indizierung von vielfältigen Meldungen(jedes THOR Modul schreibt unterschiedliche Meldungen)Schnelles und einfaches Filtern von False PositivesEinfaches Einbinden der von THOR generierten Output-Formate (Syslog, Textlog)THOR eigene App / Add-onFeatures zur Anomalie-Erkennung (Big Data-Ansatz: Schnelle Erzeugung von Tabellen, Filtern, Sortierungen, Aggregationen)
24.04.2015 Folie 18Restricted: for project use only
Auswertung von THOR-Ergebnissen in Splunk
Security-Analysten-KnowHow / forensische Expertise ist notwendig, Erfahrung mit APT hilfreichGgf. zahlreiche als „verdächtig“ gemeldete Objekte (mögliche False Positives), abhängig von Firma und StandortAlarmmeldungen bedeuten nicht unbedingt eine KompromittierungHilfreich ist oftmals das „Ansehen“ von Dateien, die gemeldet wurden
Folie 1924.04.2015 Restricted: for project use only
THOR Splunk App
Folie 2024.04.2015 Restricted: for project use only
Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren
Einsatzzweck und Technologieansatz des APT-Scanners THOR
Wie Sie die Informationen von THOR in Splunk auswerten
Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen
Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“Ihre Systeme auf APT’s scannen könnenÆ Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert
24.04.2015 Folie 21Restricted: for project use only
Rollout von THOR
Folie 2224.04.2015 Restricted: for project use only
Rollout von THOR via SPLUNK
Folie 2324.04.2015
THOR Add-on enthält Skript, das THOR von einem Netzwerkpfad startet
THOR Logs werden als ScriptedInput auf den Forwarderneingelesen
Viele Vorteile gegenüber Syslog:– Gesicherte Übertragung (TCP, SSL)
– Keine Größenbeschränkung
– Caching
– Kein zusätzlicher, offener Port
Restricted: for project use only
Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren
Einsatzzweck und Technologieansatz des APT-Scanners THOR
Wie Sie die Informationen von THOR in Splunk auswerten
Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen
Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“Ihre Systeme auf APT’s scannen könnenÆ Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert
24.04.2015 Folie 24Restricted: for project use only
THOR-Webseite: https://www.apt-detection.com
24.04.2015 Folie 25
Special THOR Trial 21 (ca. 80% der IoCs) für SPLUNK Webinar-Teilnehmer: https://www.apt-detection.com/splunk-thor-request-form
Restricted: for project use only
Best Practice Ansatz
24.04.2015 Folie 26
Planung
• 1) Anforderung „Special THOR Trial 21“ für SPLUNK Webinar-Teilnehmer:https://www.apt-detection.com/splunk-thor-request-form
• 2) Setup THOR-App for SPLUNK:https://splunkbase.splunk.com/app/1717/
• 3) Test des Rollouts von THOR (via Splunk bzw. Windows GPO)
Scan
• Repräsentativer Scan von ausgewählten Systemen, z.B. DMZ-Server, Domain Controller, File-Server, Mail-Server, MDM-Server bzw. Workstations von kritischen Key-Usern z.B. Admins, Entwickler etc.
• Zentrales Reporting in THOR-App for SPLUNK
Analyse
• Auswertung durch qualifizierte Security-Analysten / CERT-Mitarbeiter• Filterung von False Positives• Nachverfolgung von Alarmen / Warnungen
• Im Zweifelsfall: Detail-Analysen (z.B. Malware-Analyse, Forensik)Æ Ggf. Input für neue Signaturen (IoCs) Æ Re-Scan
Restricted: for project use only
Kontakt: [email protected] Infos: https://www.apt-detection.com
Copyright*©*2014*Splunk,*Inc.
Next*Steps
Copyright*©*2014*Splunk,*Inc.
Contact*us
10
Matthias'MaierSenior*Sales*Engineer
Michael'HochenriederSenior*Information*Security*Consultant
Florian'RothSenior*Information*Security*Engineer
„Special*THOR*Trial*21“*für*SPLUNK*WebinarHTeilnehmer:
https://www.aptHdetection.com/splunkHthorHrequestHform
Copyright*©*2014*Splunk,*Inc.
Thank you!