Splunk und das Triage Tool THOR

Preview:

Citation preview

Copyright*©*2014*Splunk,*Inc.

Copyright* ©*2014*Splunk,*Inc.

Splunk und*das*Triage*

Tool*THOR

Copyright*©*2014*Splunk,*Inc.

Ihr Webcast*Team

2

Matthias'MaierSenior*Sales*Engineer

mmaier@splunk.com

Michael'HochenriederSenior*Information*Security*Consultant

Hochenrieder@hvsHconsulting.de

Florian'RothSenior*Information*Security*Engineer

florian.roth@bskHconsulting.de

Copyright*©*2014*Splunk,*Inc.

Agenda

3

• Splunk kurzer Überblick

• Beispiele*von*APT’s

• Einsatzzweck und*Technologieansatz

• THOR*in*Splunk

• Best*Practice*Approach

• Q&A

Copyright*©*2014*Splunk,*Inc.

GPS,*RFID,*Hypervisor,* Web

Servers,*Email,*Messaging,

Clickstreams,*Mobile,*

Telephony,* IVR,*Databases*

Splunk:*The*Engine*For*Machine*Data

Report'and'

analyze

Custom'dashboards

Monitor'and'alert

Ad'hoc'search

Splunk'storage

Real=timeMachine'Data

Sensors,* Telematics,

Storage,* Servers,

Security* devices,*

Desktops ,* CDRs

DeveloperPlatform

Other'Big'Data'stores

4

Copyright*©*2014*Splunk,*Inc.

Splunk*is*Used*Across*IT*and*the*Business

IT

Ops

Security Compliance

App

Mgmt

Web*

Intelligence

Business*

Analytics

5

Copyright*©*2014*Splunk,*Inc.

Splunk Security*Use*Cases

More%than%a%SIEM;%a%Security%Intelligence%Platform

6

IT

Operations

Applicatio

n*Delivery

Business*

Analytics

Industrial*

Data*and*

Internet*of*

Things

Business*

Analytics

Industrial*

Data*and*

Internet*of*

Things

Security,**

Compliance,

and*Fraud

SECURITY*&**********

COMPLIANCE*

REPORTING

MONITORING*

OF*KNOWN*

THREATS

ADVANCED*

THREAT*

DETECTION

INCIDENT*

INVESTIGATIO

NS*&*

FORENSICS

FRAUD*

DETECTION

INSIDER*

THREAT

AV*CLEAN*

UP*

VERIFICATIO

N

USER*ACTIVITY*

MONITORING

ALERT*&*

MALWARE

VALIDATIO

N

MALWARE*&*

MALICIOUS*

CALLBACKS

EMAIL*ATTACK*

DETECTION

Copyright*©*2014*Splunk,*Inc.

120+'security'appsSplunk'App'for'Enterprise'Security

Products:*Splunk*Enterprise*+*Apps

Palo*Alto*

Networks

NetFlow*Logic

FireEye

Blue*Coat*

Proxy*SG

THOR

Cisco*Security*

Suite

Active*

Directory

F5*Security Juniper

Sourcefire

Snort

Asset*

Discovery

7

Copyright*©*2014*Splunk,*Inc.

SPLUNK*Webcast:*

Ein*neuer*Weg*zur*Erkennung*von*APT’s

Splunk*und*APTHDetection Tool*THOR*

Florian*Roth

Michael*Hochenrieder

24.04.2015

SPLUNK Webcast: Ein neuer Weg zur Erkennung von APT’sSplunk und APT-Detection Tool THOR

Florian RothMichael Hochenrieder 24.04.2015

Ihre Gastgeber

24.04.2015 Folie 2

Florian RothSenior Information Security Engineer bsk Consulting GmbH

Michael HochenriederSenior Information Security ConsultantHvS-Consulting AG

Restricted: for project use only

Inhalte

Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren

Einsatzzweck und Technologieansatz des APT-Scanners THOR

Wie Sie die Informationen von THOR in Splunk auswerten

Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen

Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“Ihre Systeme auf APT’s scannen könnenÆ Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert

24.04.2015 Folie 3Restricted: for project use only

Inhalte

Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren

Einsatzzweck und Technologieansatz des APT-Scanners THOR

Wie Sie die Informationen von THOR in Splunk auswerten

Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen

Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“Ihre Systeme auf APT’s scannen könnenÆ Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert

24.04.2015 Folie 4Restricted: for project use only

Definition Advanced Persistent Threats (APT)

Advanced (fortgeschritten) • erhebliche technische Kenntnisse der Angreifer• straff organisierter Angriff auf spezifische Ziele• unauffällig

Persistent (andauernd)• Kombination von mehreren Angriffsvektoren• langfristig angelegt, um Ziel zu erreichen

Threat (Bedrohung)• Abfluss von vertraulichen Informationen• (Angriffe auf kritische Infrastrukturen)

Folie 524.04.2015 Restricted: for project use only

APT-Angriffsvektoren

Angreifer

Social Engineering

MenschenSysteme

AutomatisierteAngriffe

Schadsoftware DoS Attacken

Ausnutzen von Schwachstellen

Advanced Persistent Threat

Spear Phishing

Folie 624.04.2015 Restricted: for project use only

APT-Angriffsvektoren

Angreifer

Social Engineering

MenschenSysteme

AutomatisierteAngriffe

Schadsoftware DoS Attacken

Ausnutzen von Schwachstellen

Advanced Persistent Threat

Spear Phishing

Folie 724.04.2015 Restricted: for project use only

Angriffsziel Systeme

Niederlassung A Niederlassung B

Zentrale

Folie 824.04.2015 Restricted: for project use only

Beispiel: Persistent Access

Folie 924.04.2015 Restricted: for project use only

Inhalte

Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren

Einsatzzweck und Technologieansatz des APT-Scanners THOR

Wie Sie die Informationen von THOR in Splunk auswerten

Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen

Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“Ihre Systeme auf APT’s scannen könnenÆ Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert

24.04.2015 Folie 10Restricted: for project use only

Warum ein APT-Scanner?

24.04.2015 Folie 11

Zuverlässige Früherkennung Schnelle Reaktion Effektive Schadensbegrenzung

Restricted: for project use only

APT-Scanner „THOR“

Scannt auf Hacktools und Angreifer-aktivitäten (Triage Tool)Portable – wird nicht installiert

Läuft auf allen Windows- und ausgewählten Linux-Plattformen ohne zusätzliche Anforderungen

Anpassbar an die Verfahrensweise und Werkzeuge der Angreifer

Scoring System zur Bewertung von Dateien, um

auch bisher unbekannte Malware zu erkennen

Diverse ExportmöglichkeitenIndividuelle Konfiguration und Drosselungdes Scanprozesses möglich

Kann zentral über GPO / Splunk-Forwarder etc. verteilt werden

Folie 1224.04.2015 Restricted: for project use only

Abgrenzung zu anderen Tools

Folie 1324.04.2015 Restricted: for project use only

Funktionen und Signaturen

Folie 1424.04.2015 Restricted: for project use only

Command Line Output

Folie 1524.04.2015 Restricted: for project use only

HTML Report Output

Folie 1624.04.2015 Restricted: for project use only

Inhalte

Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren

Einsatzzweck und Technologieansatz des APT-Scanners THOR

Wie Sie die Informationen von THOR in Splunk auswerten

Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen

Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“Ihre Systeme auf APT’s scannen könnenÆ Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert

24.04.2015 Folie 17Restricted: for project use only

Warum Splunk?

Hohe Flexibilität bei der Indizierung von vielfältigen Meldungen(jedes THOR Modul schreibt unterschiedliche Meldungen)Schnelles und einfaches Filtern von False PositivesEinfaches Einbinden der von THOR generierten Output-Formate (Syslog, Textlog)THOR eigene App / Add-onFeatures zur Anomalie-Erkennung (Big Data-Ansatz: Schnelle Erzeugung von Tabellen, Filtern, Sortierungen, Aggregationen)

24.04.2015 Folie 18Restricted: for project use only

Auswertung von THOR-Ergebnissen in Splunk

Security-Analysten-KnowHow / forensische Expertise ist notwendig, Erfahrung mit APT hilfreichGgf. zahlreiche als „verdächtig“ gemeldete Objekte (mögliche False Positives), abhängig von Firma und StandortAlarmmeldungen bedeuten nicht unbedingt eine KompromittierungHilfreich ist oftmals das „Ansehen“ von Dateien, die gemeldet wurden

Folie 1924.04.2015 Restricted: for project use only

THOR Splunk App

Folie 2024.04.2015 Restricted: for project use only

Inhalte

Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren

Einsatzzweck und Technologieansatz des APT-Scanners THOR

Wie Sie die Informationen von THOR in Splunk auswerten

Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen

Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“Ihre Systeme auf APT’s scannen könnenÆ Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert

24.04.2015 Folie 21Restricted: for project use only

Rollout von THOR

Folie 2224.04.2015 Restricted: for project use only

Rollout von THOR via SPLUNK

Folie 2324.04.2015

THOR Add-on enthält Skript, das THOR von einem Netzwerkpfad startet

THOR Logs werden als ScriptedInput auf den Forwarderneingelesen

Viele Vorteile gegenüber Syslog:– Gesicherte Übertragung (TCP, SSL)

– Keine Größenbeschränkung

– Caching

– Kein zusätzlicher, offener Port

Restricted: for project use only

Inhalte

Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren

Einsatzzweck und Technologieansatz des APT-Scanners THOR

Wie Sie die Informationen von THOR in Splunk auswerten

Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen

Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“Ihre Systeme auf APT’s scannen könnenÆ Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert

24.04.2015 Folie 24Restricted: for project use only

THOR-Webseite: https://www.apt-detection.com

24.04.2015 Folie 25

Special THOR Trial 21 (ca. 80% der IoCs) für SPLUNK Webinar-Teilnehmer: https://www.apt-detection.com/splunk-thor-request-form

Restricted: for project use only

Best Practice Ansatz

24.04.2015 Folie 26

Planung

• 1) Anforderung „Special THOR Trial 21“ für SPLUNK Webinar-Teilnehmer:https://www.apt-detection.com/splunk-thor-request-form

• 2) Setup THOR-App for SPLUNK:https://splunkbase.splunk.com/app/1717/

• 3) Test des Rollouts von THOR (via Splunk bzw. Windows GPO)

Scan

• Repräsentativer Scan von ausgewählten Systemen, z.B. DMZ-Server, Domain Controller, File-Server, Mail-Server, MDM-Server bzw. Workstations von kritischen Key-Usern z.B. Admins, Entwickler etc.

• Zentrales Reporting in THOR-App for SPLUNK

Analyse

• Auswertung durch qualifizierte Security-Analysten / CERT-Mitarbeiter• Filterung von False Positives• Nachverfolgung von Alarmen / Warnungen

• Im Zweifelsfall: Detail-Analysen (z.B. Malware-Analyse, Forensik)Æ Ggf. Input für neue Signaturen (IoCs) Æ Re-Scan

Restricted: for project use only

Kontakt: info@apt-detection.comWeitere Infos: https://www.apt-detection.com

Copyright*©*2014*Splunk,*Inc.

Next*Steps

Copyright*©*2014*Splunk,*Inc.

Contact*us

10

Matthias'MaierSenior*Sales*Engineer

mmaier@splunk.com

Michael'HochenriederSenior*Information*Security*Consultant

Hochenrieder@hvsHconsulting.de

Florian'RothSenior*Information*Security*Engineer

florian.roth@bskHconsulting.de

„Special*THOR*Trial*21“*für*SPLUNK*WebinarHTeilnehmer:

https://www.aptHdetection.com/splunkHthorHrequestHform

Copyright*©*2014*Splunk,*Inc.

Thank you!

Recommended