HOME > 解決方案

使用 Splunk Enterprise Security 解決使用者監控的使用案例

2021/10/05

多年來,我一直與世界各地的 Splunk 客戶合作,幫助他們用自己的資料回答安全性問題。就像您知道的,在某些安全使用案例中,有時很難知道應該從哪裡著手。我們都知道 Splunk 的資料平台能夠提供到大規模且令人難以置信的分析和洞察力,但我們如何將這種能力與 Splunk 的所有內容和傑出的安全解決方案結合起來?由於我經常被問到這個問題,所以我把和一些常見的高階安全使用案例的想法寫下來。在這篇貼文中,我們將探討一些內容和想法的最佳作法,在您部署或最佳化 Splunk Enterprise Security 時幫助您進入狀況。準備好了嗎?我們開始吧。

 

首先,過去最難偵測到的狀況之一現在卻成了最簡單的事情:使用者憑證外洩。這種狀況的根本原因通常是由於網路釣魚、跨帳戶共用密碼或無意中外洩密碼而發生的。無論原因為何,此時最要緊的就是採用多種方法來知道惡意人士在什麼時候使用已經外洩的憑證來存取您的資產。幸運的是,Splunk Enterprise Security (ES) 內建了幾個用於此一用途的關聯性規則,如下所示:
•    偵測到來自不可能的地理位置的存取
•    偵測到同時登入嘗試
•    使用者登入的主機增加
•    來自服務帳戶的新互動式登入
 
以上規則採用一些「常識」來監控密碼是否被以可疑的方式濫用,即使對方已經通過驗證。在我們的內容更新「橫向移動」分析中,還有一些更複雜的規則,例如「偵測和傳遞雜湊攻擊相關的活動」,這些規則可以進行更深入的分析,並為您提供檢視憑證是否被濫用所需的可見度。

特殊權限使用者被盜
 


我經常聽到的另一個使用案例是特殊權限使用者身分被盜。它們都是高等級的使用者,通常擁有使用敏感資產的管理權限或相同等級的執行權限,因此確保在第一時間知道這些帳戶之一被未經授權的使用者使用很重要。我們的資料平台工作方式的優點,就是我們已經在 Splunk ES 中內建幾個架構來優先偵測這些類型的帳戶。您可以在 Assets and Identity 框架中將這些帳戶標記為更高的優先等級,並還可以在 Risk 框架中設定一個更高的風險因素,以確保 Splunk 可以看到、讓您注意到最緊急的事件。如果您的 Splunk Enterprise Security 版本內建以風險為基礎的警示,上述做法也會提高風險評分。

 





接下來,我們來談談來自內部人員的威脅。看出一個模式了嗎?使用者憑證外洩、特殊權限使用者被盜和來自內部的威脅,都和以未經授權的方式使用有效憑證有關。但相同類型的分析功能剛好適合幫助偵測這種情況,您可以立即將它們與 Splunk Enterprise Security 一起使用。因此,雖然我們有數十種分析可用於追蹤和偵測可疑使用者活動,但某些對來自內部人員的威脅非常有效,如以下範例: 
•    執行特殊權限操作的新使用者 
•    發生許多 DLP 事件的使用者
•    列印的資料過多
•    複製許多檔案到 USB 的使用者
•    使用新雲端提供商的使用者
•    使用者觸發新的資料外洩 DLP 警示
•    以過去員工帳號成功登入
•    對等群組首次使用跳板機
•    非特殊權限使用者執行特殊權限操作
 



接著,我們繼續。當我管理安全營運中心 (SOC) 時,我真正關心的一件事是保持健全的安全狀態,我會密切關注有哪些帳戶存在、它們的目的是什麼、預期它們會用於何處,以及我希望如何使用它們。為此,我必須掌握帳戶的建立時間、帳戶是否處於休眠狀態,以及其是否應該共用或被作為服務帳戶。作為使用者時,我真正喜歡 Splunk Enterprise Security 的一件事就是它可以立即完成這些以及更多工作。我們來深入看一下:

Account Management 儀表板會自動追蹤 Splunk 中所有資料來源的帳戶建立、更新和刪除。內建的一些面板可以觀看誰在建立和更新您的帳戶,還有一個面板可以顯示最近被鎖定的帳戶。此外,Splunk Enterprise Security 的 Assets and Identities 框架可讓您指定帳戶的類別,以及它們是否是特殊權限帳戶。如此一來,Splunk 可以根據您認定帳戶在環境中的使用方式來個別處理帳戶。這些規則也是內建的,讓您可以了解感興趣的帳戶活動或缺乏活動:
•    帳戶已刪除
•    完全不活躍的帳戶
•    偵測到不活躍帳戶的活動
•    在多個主機上建立的新使用者帳戶
•    短暫存在的 Windows 帳戶
 


我們還提供了一些監控帳戶時很有用的儀表板,包括 Default Account Activity 儀表板,它會檢查您的資料,以了解不同廠商和軟體產品的 50 多個常見預設帳戶的使用情況,Access Anomalies 儀表板則能檢查資料中出現地理位置不太可能存取或同時存取應用程式的證據。 
 


還有一件事:有時,您可能需要從歷史或鑑識的角度檢視一個帳戶,但並不知道自己在尋找什麼。可能的原因有:例如,您可能會收到來自第三方的指示,表明需要進一步審查使用者。或者,您的人力資源或內部法遵部門可能會標記使用者進行檢視,並要求提供該帳戶網路活動和使用模式的完整時間表。幸運的是,Splunk Enterprise Security 中的 User Activity 和 Identity Investigator 儀表板可以幫助您做到這一點——您只要有 Splunk 中的資料和想要調查的使用者名稱即可。 

如果您現在沒有 Splunk Enterprise Security,可以透過我們的 Splunk Autobahn 計畫開始試用。Autobahn 是我們的 SaaS 型價值驗證計畫,您可以在 Autobahn 中將自己的資料運用於特定的安全使用案例;它是免費的,並可讓您快速將其轉換為授權模式。 

快樂 Splunking!
 
作者
Marquis Montgomery



Marquis 在 Splunk 的安全產品團隊工作,是企業安全和相關安全產品的產品經理,他幫助規劃和開發新一代資訊安全分析解決方案。在此之前,Marquis 在 Splunk 的安全專業服務團隊工作,負責協助客戶確保專案成功,涵蓋企業安全使用案例的進階部署、SOC 開發和安全計畫審查。