在當前復雜的網(wǎng)絡安全環(huán)境中，企業(yè)面臨著日益增長的高級持續(xù)性威脅（APT）。

Splunk 作為全球領先的安全信息與事件管理 （SIEM） 平臺，具備強大的日志收集、分析和可視化能力。然而，面對不斷演變的高級持續(xù)性威脅，檢測規(guī)則需要持續(xù)優(yōu)化和更新，這往往是企業(yè)在日常安全運營中面臨的主要挑戰(zhàn)之一。

為幫助企業(yè)充分發(fā)揮 Splunk 平臺在威脅檢測與關聯(lián)分析方面的強大能力，持續(xù)優(yōu)化及擴展 Use Case 和檢測規(guī)則，Splunk 與塞訊驗證聯(lián)合推出解決方案，旨在通過三個關鍵方面顯著提升客戶的威脅狩獵能力。

本文將詳細探討這一方案的技術細節(jié)和實際應用。

一、驗證和豐富安全檢測規(guī)則

塞訊驗證通過先進的攻擊模擬技術，幫助企業(yè)全面提升檢測規(guī)則的有效性。

1. 驗證現(xiàn)有 Use Case 的有效性

在實際應用中，安全團隊往往難以確認現(xiàn)有檢測規(guī)則是否能有效識別最新的攻擊手法。塞訊驗證通過系統(tǒng)化的測試方法，幫助企業(yè)驗證 Splunk Enterprise Security 中的檢測規(guī)則，確保其有效性。

? 實際應用示例：

以 Log4j 漏洞（CVE-2021-44228）為例，塞訊驗證提供近 200 種攻擊模擬規(guī)則，全面驗證檢測規(guī)則的覆蓋范圍：

通過這些模擬測試，企業(yè)可以：

• 及時發(fā)現(xiàn)檢測規(guī)則的盲點

• 驗證新增規(guī)則的有效性

• 確保防護措施的及時更新

在 Splunk Enterprise Security 中，相關的默認 Use Case（"Detecting Log4j remote code execution"）可以通過這些對應規(guī)則的模擬與充分驗證，確保能夠及時有效檢測相應的攻擊變種。

Source URL:

https://lantern.splunk.com/Security/UCE/Guided_Insights/Threat_hunting/Detecting_Log4j_remote_code_execution

2. 識別潛在的檢測盲點

安全威脅往往會利用防護體系的薄弱環(huán)節(jié)發(fā)起攻擊。通過對比模擬攻擊的完整攻擊鏈與實際檢測效果，可以有效識別潛在的防護短板。

? 實際應用示例：

以 DNS 隧道檢測為例，僅分析 DNS 服務器日志可能無法完全識別數(shù)據(jù)泄露行為。通過引入更多維度的數(shù)據(jù)源分析，如 DNS 流量特征、通信行為模式等，可以顯著提升檢測的覆蓋度與準確性。

塞訊驗證通過模擬各類惡意域名解析和 DNS 隧道數(shù)據(jù)泄露場景，幫助企業(yè)建立更全面的檢測機制：

Splunk Enterprise Security 中默認的 Use Case：Monitoring a network for DNS exfiltration

Source URL:

https://lantern.splunk.com/Security/UCE/Guided_Insights/Threat_hunting/Monitoring_a_network_for_DNS_exfiltration

3. 提供額外的檢測規(guī)則建議

基于最新的 MITRE ATT&CK 框架和威脅情報，解決方案可以為 Splunk Enterprise Security 提供更豐富的檢測規(guī)則。

? 實際應用示例：

針對新出現(xiàn)的 DarkSide 變種與攻擊，塞訊驗證提供專門的攻擊模擬，助力 Splunk 增加數(shù)據(jù)源分析，包括網(wǎng)絡流量分析規(guī)則（只分析終端側的數(shù)據(jù)源是不夠全面的）和行為檢測邏輯。

塞訊驗證提供針對 Darkside 勒索團伙的攻擊模擬：

A. 命令與控制戰(zhàn)術（此勒索團伙使用到的若干技術）

B. 信息收集戰(zhàn)術（此勒索團伙使用到的若干技術）

C. 持久化戰(zhàn)術（此勒索團伙使用到的若干技術）

D. 命令與控制戰(zhàn)術（此勒索團伙使用到的“入站工具傳輸”技術）

E. 防御繞過戰(zhàn)術（此勒索團伙使用到的繞過技術）

F. 破壞影響戰(zhàn)術（此勒索團伙使用到的若干技術）

Splunk Enterprise Security 中默認的 Use Case：
Detecting DarkSide ransomware

Source URL:

https://lantern.splunk.com/Security/UCE/Guided_Insights/Threat_hunting/Detecting_DarkSide_ransomware

?? 新增加 Splunk 檢測規(guī)則示例：

 Process_Command_Line="*delete shadows*")

二、基于 APT 場景的攻擊模擬構建高級威脅畫像

高級持續(xù)性威脅（APT）因其隱蔽性和持久性特點，對企業(yè)安全防護體系提出了更高要求。聯(lián)合解決方案通過以下方式構建全面的 APT 威脅防護體系：

1. 模擬復雜的 APT 攻擊鏈

• 技術細節(jié)：塞訊驗證基于真實 APT 組織的戰(zhàn)術、技術和過程（TTPs）構建完整的攻擊場景。

• 實際操作：模擬 APT28 的典型攻擊流程，包括初始訪問、權限提升、橫向移動和數(shù)據(jù)泄漏等階段。

2. 捕獲和分析詳細日志

• 數(shù)據(jù)收集：Splunk 平臺配置高級的數(shù)據(jù)收集策略，包括網(wǎng)絡流量、系統(tǒng)日志、應用日志和用戶活動等多維度數(shù)據(jù)。

• 分析方法：利用 Splunk 的機器學習能力，如異常檢測算法，識別攻擊鏈中的異常模式。

3. 構建全面的 APT 組織畫像

• 畫像組成：包括技術指標（IoCs）、攻擊工具特征、網(wǎng)絡行為模式和數(shù)據(jù)泄漏技術等。

• 應用價值：安全團隊可以基于這些畫像，在 Splunk 中創(chuàng)建更精準的相關性規(guī)則和行為分析模型。

塞訊驗證模擬覆蓋全攻擊鏈 APT 場景：

A. 初始訪問戰(zhàn)術（此 APT 組織使用到的若干技術）

B. 持久化戰(zhàn)術（此 APT 組織使用到的若干技術）

C. 命令與控制戰(zhàn)術（此 APT 組織使用到的“入站工具傳輸”技術）

D. 橫向移動戰(zhàn)術（此 APT 組織使用到的若干技術）

E. 信息收集戰(zhàn)術（此 APT 組織使用到的若干技術）

F. 防御繞過戰(zhàn)術（此 APT 組織使用到的若干技術）

G. 命令與控制戰(zhàn)術（此 APT 組織使用到的若干技術）

H. 數(shù)據(jù)泄露戰(zhàn)術（此 APT 組織使用到的若干技術）

三、彌補安全產品疏漏，Splunk 平臺檢測能力再升級

即使是最先進的安全產品也可能存在檢測盲區(qū)，或被攻擊者針對性防御繞過。

Splunk 非常建議廣大使用者開啟 Splunk ES Content Update 來不斷更新檢測規(guī)則，提升威脅檢測的 Use Case 覆蓋度與對應規(guī)則的豐富度。

另外，借助塞訊安全度量驗證平臺，可以通過以下方式實現(xiàn) Splunk 平臺檢測能力的進一步提升：

1. 識別現(xiàn)有安全產品的檢測盲區(qū)

• 測試方法：使用最新的攻擊技術，如無文件攻擊、供應鏈攻擊、防御繞過攻擊等，對企業(yè)現(xiàn)有安全架構進行全面評估。

• 實例說明：發(fā)現(xiàn)某新型勒索軟件能夠繞過企業(yè)的 EDR 解決方案。

2. 提供詳細的技術特征

• 特征提取：對每個發(fā)現(xiàn)的漏檢威脅進行深入分析，提取其獨特的技術特征和行為模式。

• 實際應用：為繞過 EDR 的勒索軟件提供詳細的行為分析，包括操作系統(tǒng)配置、文件系統(tǒng)操作、注冊表修改和網(wǎng)絡連接模式等。

3. 在 Splunk 平臺上添加針對性規(guī)則

• 規(guī)則開發(fā)：基于提取的特征，開發(fā)專門的 Splunk 檢測規(guī)則，通常包括 SPL（Search Processing Language）查詢和相關的觸發(fā)條件。

• 部署示例：針對前述勒索軟件，在 Splunk 中部署基于操作系統(tǒng)活動和網(wǎng)絡行為的復合檢測規(guī)則。

塞訊驗證攻擊庫規(guī)則示例：

新增加 Splunk 檢測規(guī)則示例：

(source="WinEventLog:Security" EventCode="4688"(Process_Command_Line="*COMPlus_ETWEnabled=0*"))

Splunk 和塞訊驗證的聯(lián)合方案通過系統(tǒng)性的攻擊模擬、全面的日志分析和精準的規(guī)則優(yōu)化，顯著提升了企業(yè)的威脅狩獵能力。這種方法不僅能有效應對當前的安全挑戰(zhàn)，還為企業(yè)建立了一個可持續(xù)進化的安全體系。在日益復雜的網(wǎng)絡安全環(huán)境中，這種基于實戰(zhàn)的、持續(xù)優(yōu)化的方法無疑將成為企業(yè)抵御高級威脅的關鍵武器。