SIEM-05 · ประสบการณ์

ผมสร้าง Splunk SIEM ที่เผยสัญญาณ ไม่ใช่เสียงรบกวน

ผมไม่เพียงตั้ง Splunk ขึ้นมา แต่เปลี่ยนมันให้เป็นเครื่องมือที่ทีมของคุณใช้งานได้จริง นั่นหมายถึงการออกแบบอินเด็กซ์ที่สะอาด แหล่งข้อมูลที่นำเข้าและแยกวิเคราะห์อย่างถูกต้อง ข้อมูลที่ปรับเป็นมาตรฐานตาม CIM และการแจ้งเตือนที่ผูกกับพฤติกรรมของผู้โจมตีจริง แทนที่จะเป็นกำแพงของเหตุการณ์ที่ไร้ความหมาย เป้าหมายคือคอนโซลที่สิ่งซึ่งเรียกใครสักคนให้ลุกขึ้นมา คือสิ่งที่สำคัญจริงๆ

เปิดสายติดต่อ ดูประสบการณ์ทั้งหมด

01 · สิ่งที่ผมทำ

งานจริงที่ทำ

ติดตั้งและกำหนดขนาด Splunk ให้เหมาะกับสภาพแวดล้อมของคุณ ไม่ว่าจะเป็นแบบอินสแตนซ์เดียว แบบกระจาย หรือการเก็บข้อมูลผ่านฟอร์เวิร์ดเดอร์
ออกแบบอินเด็กซ์และระยะเวลาเก็บข้อมูลตามประเภทข้อมูล เพื่อให้การค้นหายังรวดเร็วและการจัดเก็บยังอยู่ในขอบเขตที่สมเหตุสมผล
นำแหล่งข้อมูลเข้าระบบอย่างเรียบร้อย ด้วย sourcetype ไทม์สแตมป์ การตัดบรรทัด และการแยกฟิลด์ที่ถูกต้อง
ปรับล็อกให้เป็นมาตรฐานตาม Common Information Model เพื่อให้การค้นหาและการตรวจจับทำงานได้ข้ามผู้ผลิตหลายราย
ออกแบบการแจ้งเตือนและการค้นหาเชิงสหสัมพันธ์ที่แมปกับเทคนิคของ MITRE ATT&CK และปรับจูนเพื่อลดการแจ้งเตือนเท็จ
สร้างแดชบอร์ดตามบทบาทสำหรับการคัดกรองของ SOC การมองเห็นภาพรวมของผู้บริหาร และการรายงานเพื่อการตรวจสอบ
จัดทำเอกสารตรรกะการตรวจจับและการปรับจูน เพื่อให้ทีมดูแลและต่อยอดได้เองโดยไม่ต้องมีผม

02 · สิ่งที่คุณได้รับ

สิ่งที่เหลืออยู่กับคุณในที่สุด

ระบบ Splunk ที่ทำงานได้จริง พร้อมอินเด็กซ์และนโยบายการเก็บข้อมูลที่เหมาะกับข้อมูลและงบประมาณของคุณ
แหล่งข้อมูลที่นำเข้าและปรับเป็นมาตรฐานตาม CIM เพื่อให้การค้นหาเพียงครั้งเดียวครอบคลุมผู้ผลิตได้หลายราย
ชุดการแจ้งเตือนที่ปรับจูนแล้วและแมปกับ ATT&CK ซึ่งจะเรียกคนเมื่อเจอภัยคุกคามจริง ไม่ใช่เสียงรบกวน
แดชบอร์ดที่ SOC ผู้บริหาร และผู้ตรวจสอบของคุณ ต่างก็อ่านเข้าใจได้จริง
เอกสารลายลักษณ์อักษรของทุกการตรวจจับ ทุกแหล่งข้อมูล และทุกการตัดสินใจปรับจูน เพื่อให้ระบบอยู่ต่อได้นานกว่าระยะเวลาที่ร่วมงานกัน

03 · เครื่องมือและความรู้

สิ่งที่ผมใช้ในงานด้านนี้

Splunk Enterprise และ Universal Forwarder
Splunk Common Information Model (CIM)
การค้นหา SPL และการค้นหาเชิงสหสัมพันธ์
การนำข้อมูลเข้าระบบ (props.conf, transforms.conf, sourcetype)
การสร้างแดชบอร์ดและการแจ้งเตือน
การแมปเทคนิค MITRE ATT&CK
Syslog และแหล่งล็อกเครือข่าย/ไฟร์วอลล์

04 · วิธีที่ผมทำงาน

วางแผน กำหนดขอบเขต และรับผิดชอบจนจบ

ผมเริ่มด้วยการพูดคุยกำหนดขอบเขตราว 30 นาที แล้วส่งบทประเมินความเหมาะสมเป็นลายลักษณ์อักษรให้ภายในวันเดียวกัน เพื่อให้เราทั้งสองฝ่ายเห็นตรงกันว่าอะไรเป็นไปได้จริง ก่อนจะแตะต้องสิ่งใดในระบบที่ใช้งานจริง ผมจะเขียนแผนการเปลี่ยนแปลงที่มีเอกสารกำกับพร้อมขั้นตอนการย้อนกลับ รวมถึงการสำรองข้อมูลและคอนฟิก เพื่อให้เราย้อนกลับสู่สถานะที่รู้แน่ชัดได้เสมอ การนำข้อมูลเข้าและการเปลี่ยนแปลงการตรวจจับจะทำภายในช่วงเวลาที่กำหนดไว้ ตรวจสอบกับเกณฑ์ต่างๆ เช่น การแยกวิเคราะห์ที่ถูกต้อง ความครอบคลุมของฟิลด์ตาม CIM และอัตราการแจ้งเตือน โดยมีขั้นตอนการย้อนกลับที่ผมดูแลอยู่ตลอดทาง ผมปรับจูนทีละรอบแทนที่จะทำทั้งหมดในคราวเดียว เพราะการตรวจจับที่ดีต้องอาศัยการทำซ้ำ และผมอยากให้คุณเห็นเสียงรบกวนที่ลดลงจริงมากกว่าจะเอาแต่รับปาก

คุณสมบัติและมาตรฐานงานตรวจจับของผมสร้างบนพื้นฐานของ MITRE ATT&CK เพื่อให้การแจ้งเตือนแมปกับเทคนิคของผู้โจมตีจริง และสอดคล้องกับมาตรการตรวจสอบและความรับผิดชอบของ NIST 800-53 ในด้านความครอบคลุมและระยะเวลาเก็บล็อก พื้นฐาน CompTIA Security+ ของผมครอบคลุมด้านการปฏิบัติการความปลอดภัย ส่วน Cisco CCNA ช่วยให้ผมนำแหล่งข้อมูลเครือข่าย ไฟร์วอลล์ และ syslog เข้าระบบได้อย่างถูกต้อง แทนที่จะเทข้อมูลดิบลงในอินเด็กซ์เฉยๆ

05 · คำถาม

คำถามที่ดี คำตอบที่ตรงไปตรงมา

คุณทำงานกับระบบ Splunk ที่ติดตั้งอยู่เดิมได้ไหม แทนที่จะติดตั้งใหม่ทั้งหมด?

ได้ครับ คุณค่าส่วนใหญ่ของผมอยู่ที่การจัดระเบียบสิ่งที่มีอยู่แล้ว ไม่ว่าจะเป็นการแก้ sourcetype และไทม์สแตมป์ที่เสียหาย การปรับเป็นมาตรฐานตาม CIM การตัดการแจ้งเตือนที่ส่งเสียงรบกวนออกไป และการสร้างแดชบอร์ดขึ้นใหม่ ผมจะประเมินสิ่งที่คุณมีอยู่ก่อนเสมอ ก่อนจะแนะนำให้สร้างใหม่

คุณทำอย่างไรไม่ให้การแจ้งเตือนเท็จท่วมจนทีมรับมือไม่ไหว?

ผมแมปการตรวจจับเข้ากับเทคนิคของ ATT&CK ที่เฉพาะเจาะจง ตั้งเส้นฐานของกิจกรรมปกติก่อน แล้วปรับจูนทีละรอบพร้อมเฝ้าดูอัตราการแจ้งเตือน การแจ้งเตือนที่เรียกคนควรคุ้มค่าพอที่จะปลุกใครสักคนให้ตื่น และผมจะจัดทำเอกสารตรรกะไว้ เพื่อให้คุณปรับค่าเกณฑ์ได้ในภายหลัง

คุณทำเฉพาะ Splunk หรือทำแพลตฟอร์ม SIEM อื่นด้วย?

หน้านี้เป็นเรื่องของ Splunk ซึ่งเป็นที่ที่ผมลงลึกที่สุดในการออกแบบอินเด็กซ์ CIM และการสร้างระบบตรวจจับ วิธีการพื้นฐานอย่างการนำข้อมูลเข้าที่สะอาดและการแจ้งเตือนที่แมปกับ ATT&CK นั้นใช้ได้กับแพลตฟอร์มอื่นด้วย แต่ผมจะบอกคุณตรงๆ ว่าผมเชี่ยวชาญแต่ละอย่างลึกแค่ไหนก่อนเริ่มงาน

06 · ประสบการณ์ที่เกี่ยวข้อง

งานในด้านใกล้เคียงที่ผมทำ

ต้องการคนมาดูแลเรื่องนี้ไหม?

บอกผมว่าคุณกำลังพยายามขับเคลื่อนอะไรอยู่ และติดขัดตรงไหน แค่ไม่กี่ประโยคก็เพียงพอสำหรับการเริ่มต้น และข้อความจะถูกส่งตรงถึงกล่องจดหมายของผม

เปิดสายติดต่อ