Splunk和CIS关键安全控制措施

前言

这是Splunk出的一个白皮书,特别适合拿出来和圈内做大数据安全产品的兄弟们分析和学习,可以关注几个点:

1、splunk产品的功能、界面、展示逻辑和要素(并不是越花哨越好,例如一个向上或向下的箭头表示上升或下降的趋势);

2、splunk如何使用数据来做展示,帮助安全分析;

3、如何以产品的思维为客户提供服务,从客户的角度,以CIS为线,阐述了splunk使用那些数据如何帮助用户满足CIS。

摘要

Splunk提供了一个集成的安全智能平台,帮助安全人员确保其组织满足关键安全控制要求。  安全业人员发现Splunk软件可以多种方式支持这些控制措施,包括:摄取来着多个供应商的摄取; 实时schema-less架构; 强大的大数据扩展能力; 灵活的报表界面。

(一)介绍

1.1 CIS是什么

CIS Critical Security Controls 已多次更新,以满足不断变化的威胁和脆弱性环境的需求。当前的版本《 CIS关键安全控制措施》版本6.1 , 本文对标的是6.0版。

关于CIS关键安全控制(最初称为Consensus Audit Guidelines)最初是公布一系列安全控制,这些控制由政府和私营部门的专家评定为防止网络攻击的最关键的控制措施。 这些控制最初由战略和国际研究中心发布,由SANS维护,现在由互联网安全中心发布.(www.cisecurity.org/critical-controls.cfm)。

1.2 为什么CIS CSC重要?

在制定安全策略时,组织采用CIS CSC有几个原因:

 •实施控制可以降低目前已知的高级攻击,以及不久的将来发生的攻击的风险,并为“威胁追踪(hunting)”提供高保真的数据。

 •控制是由联邦政府和私营企业的专家共同制定的。

•将常见的安全性要求放在易于理解和实现的列表中。

 •控制是相当全面的,并且反映了最重要的关注领域。

 •控制系统定期更新,以更好地反映不断变化的威胁态势。

 图1提供了NSA如何将CIS CSC应用于攻击期间采取的操作的示例。每个控制措施适用于以下一个或多个类别:侦察、进入,保持和利用。

1.2 Splunk如何支持CIS CSC

1.3 客户如何使用Splunk进行安全

SplunkEnterprise®,是使用各种机器生成的数据,以多种方式支持用户的安全的平台:

•Splunk企业版:

- 索引来自任何机器数据源的数据

- 从集中控制台搜索机器数据

- 允许安全专业人员添加标签,创建事件类型,并将传入的数据与业务上下文相关联

- 主动监控和警报安全事件,自动修复安全问题 - 例如,更改防火墙规则以响应Splunk搜索结果

- 允许创建报告,仪表板和其他形式的分析,以在整个组织中传达安全信息

•Splunk Enterprise可以使用特定于一个或多个供应商的免费Splunk apps进行扩充。

•Splunk Enterprise与Splunk Enterprise Security(以下简称ES)结合,在核心Splunk平台之上提供了广泛的安全智能的应用程序。这为客户提供了传统SIEM解决方案的所有功能,以及分析大量凭据的用户数据来检测高级威胁的能力。

•Splunk Cloud在完全托管和受管理的环境中提供与Splunk Enterprise相同的功能,可独特地以“混合”的方式进行配置。 Splunk ES也可以在Splunk Cloud中使用。

•Splunk UBA通过机器学习应用数据科学,显示异常。

Splunk Enterprise Security

Splunk Enterprise Security(简称ES)Premium解决方案支持将Splunk部署映射到CIS CSC。将Splunk软件映射到CIS CSC要求时,使用该应用程序可显着减少实施时间。

Splunk用户行为分析(UBA)

Splunk用户行为分析(UBA)优质解决方案还支持将Splunk部署映射到CIS CSC,并且可以完全独立于传统的Splunk Enterprise部署。但是,使用该应用程序可以提供控制的补充信息,如“控制5:管理权限的使用”等。

1.4 大图

 Splunk软件使您组织中的所有数据安全相关(参见表1)。 随着数据被Splunk Enterprise索引,它变得立即可搜索,安全专业人员可以轻松地将所有这些看似不同的数据源相关联。 此外,在业务系统锁定的数据的上下文中可以看到不同的数据类型。 然后,安全专业人员可以在数据之上构建仪表板和报告,并在设置的特定阈值上,执行的操作和告警。 此外,任何分析都可以实施,以主动保护您的组织免受新兴威胁。

(二)The CIS CSC

2.1 授权和未授权设备的清单

Associated NIST Special Publication 800-53, Revision 4CA-7; CM-8; IA-3; SA-4; SI-4; PM-5

Role of Splunk Software: VERIFICATION(验证)

授权和未授权设备的清单主要通过“发现和漏洞管理”工具(如Nmap,Nessus,RedSeal,Qualys,IP360和Nexpose)完成。也可以使用具有发现引擎(如ServiceNow,IBM TADDM和BMC Atrium Discovery)的传统和下一代配置管理数据库(CMDB)产品。

•Splunk软件可以接收来自任何发现或漏洞管理工具的定期生成的报告。这些报告通常是XML,CSV或类似的格式。

•TA或应用程序提供以下内容:

- Nessus的Splunk插件

- Nmap

- Tripwire IP360

- Qualys

- Rapid7 Nexpose

- 其他VA / VM /发现应用程序可以通过日志文件/报告摄取,API集成,数据库集成和其他方法轻松集成到Splunk软件中。

•Splunk for Asset Discovery应用程序也可以使用Nmap。

•通过摄取这些数据源,每个发现的设备的记录都保存在Splunk Enterprise中。

Control 1: Using Splunk Enterprise Security

•已被摄入Splunk软件的环境中的设备库存信息,可以在ES中作为Splunk Enterprise Security的the Asset Center的“资产”利用(见图3),图中是一个预先构建的与资产相关数据的视图。这允许Splunk软件将任何传入的信息与已知资产列表相关联。安全调查人员可以即时访问资产信息,如资产重要情况,类别,业务单位,所有者和其他上下文相关数据。资产列表也可以由外部源(如目录服务器或CMDB)自动填充。 ES也联合来自多个资产来源的信息。

•ES包含称为Asset Investigator的交互式数据可视化(参见图4)。

这种可视化允许安全调查人员查看资产和与该资产相关的所有的事件。 从外部来源获得的信息也被引入到这个视图中,以提供业务环境。

•如果ES使用漏洞管理数据,并用于填充资产数据,则Vulnerability Operations(见图5)提供了资产扫描活动的证据。

2.2授权和未授权软件清单

Associated NIST Special Publication 800-53, Revision 4CA-7; CM-2,8,10,11; SA-4; SC-18,34; SI-4; PM-5

Role of Splunk Software: VERIFICATION & EXECUTION

•Splunk软件可以通过脚本输入和脚本来收集有关给定系统上安装的软件和修补程序的所有信息。该数据定期摄取进入Splunk软件,可用于报告和告警。

•Splunk软件接受来自软件变更管理,白名单或漏洞管理工具的定期生成的报告。这些报告通常采用XML,CSV或类似格式,并且包含每个条目的时间戳,对发现的内容进行了深入的分析。

•Splunk软件可以将来自脚本输入或第三方工具的数据与其他企业数据源相关联,例如CMDB、批准的软件应用程序的hash白名单,并对任何攻击情况进行显示和告警。

•Splunk软件可以计算和显示资产信息。

Control 2: Using Splunk Enterprise Security

•ES提供了定义环境中“有趣”流程和服务的方法,通过静态或动态填充的查找文件。 查找文件可以定义已列入白名单或黑名单的进程,例如添加“is_secure”和“is_prohibited”等字段。当处理包含特定进程或服务名称的数据时,它将与这些列表相关联,以便安全调查人员可以软件是否被授权。

•ES中还提供了Update Center and Update Search仪表板,其中显示有关系统补丁级别的信息(参见图6和图7)。 “Endpoint Changes”仪表板对于了解环境中发生的更改次数也很有用(参见图8)。

2.3 移动设备,笔记本电脑,工作站和服务器上的硬件和软件配置

Associated NIST Special Publication 800-53, Revision 4CA-7; CM-2,3,5,6,7,8,9,11; MA-4; RA-5; SA-4; SC-15,34; SI-2,4

Role of Splunk Software: VERIFICATION & EXECUTION

硬件和软件配置的保护通常通过IBM BigFix,Tripwire CCM和Enterprise以及Symantec CSP等安全配置管理工具(SCM)来实现。

可以通过Splunk软件运行脚本输入或查找数据配置错误的证据来评估许多安全配置。

•Splunk平台接受来自任何安全配置管理工具生成的计划报告,无论是XML,CSV还是类似格式。

•这些报告和数据源包含每个设备的安全配置的记录。每次运行新的扫描时,信息都会被插入到Splunk软件中,并且很容易找到扫描之间的差异来识别新的或不同的配置。

•Splunk软件可以轻松地将SCM数据与其他数据源相关联。一个示例是包含特定设备应配置的合规策略的CMDB。

•通过脚本输入和监控日志文件,Splunk软件评估主机配置错误配置的证据。使用Access Protection的附加组件,可以在Splunk应用程序中进行PCI兼容性。

Control 3: Using Splunk Enterprise Security

•当配置错误的服务和设置被利用时,环境中通常会出现异常行为,可以找到错误的服务,进程或其他类型的配置错误。 ES包含用于识别此行为和错误配置(如不正确的密码长度或到期时限)的相关规则。 它还包括几个仪表板,如Traffic Search, System Center and Time Center,可以显示不符合安全配置标准的系统(参见图9,10和11)。

•Splunk ES还提供特定的Protocol Analysis仪表板,从Splunk App for Stream收集的网络数据或其他来源,可能包含错误配置的证据(例如使用不当的网络协议/服务或过期/流氓SSL证书(见图12)。

2.4持续性脆弱性评估和修复

Associated NIST Special Publication 800-53, Revision 4CA-2,7; RA-5; SC-34; SI-4,7

Role of Splunk Software: VERIFICATION

持续的脆弱性评估(VA)和修复主要是通过诸如Rapid7 Nexpose,Tenable Nessus,Qualys和Tripwire IP360等漏洞管理(VM)工具来完成的。

Splunk接受来自发现或漏洞管理工具的定期报告,采用XML,CSV或类似格式。

TA或应用程序支持以下内容:

- Nessus的Splunk插件

- Nmap

- Tripwire IP360

- Qualys

- Rapid7 Nexpose

- 其他VA / VM /发现应用程序可以通过日志文件/报告摄取,API集成,数据库集成和其他方法轻松集成到Splunk软件中。

Control 4: Using Splunk Enterprise Security

•来自漏洞扫描的信息会输入到Splunk Enterprise Security中的Vulnerability Center, Operations and Search仪表板(参见图13,14和15)。这些仪表板提供了整个环境中的漏洞管理活动和源数据的完整视图。通过这些仪表板,SOC人员可以验证扫描是否正在运行,并确定最新和最关键的漏洞。由于仪表板显示由于仪表板显示漏洞首次发现时间,并允许过滤以按时间显示漏洞,因此人员还可以确定是否已经修复了特定的漏洞。。

•ES编译大约20个(可配置)威胁列表中的信息,并将该信息与环境中发现的威胁列表数据相关联(见图16)。这些威胁列表可以包含CVE描述,文件哈希值,恶意注册表项,IP地址,域名以及在通用IOC格式(如STIX,CyBox或OpenIOC)。

例如,如果发现任何设备与此定期更新的列表中的IP地址通信:,将生成警报或值得注意的事件。

2.5 特权账号的控制使用

Associated NIST Special Publication 800-53, Revision 4AC-2,6,17,19; CA-7; IA-4; IA-5; SI-4

Role of Splunk Software: VERIFICATION

•Splunk使用来自技术环境的身份验证日志,详细说明帐户活动,包括如何访问帐户以及从哪里访问。 身份验证日志来自但不限于:主机设备,域控制器,目录服务器,网络设备,Radius,TACACS,应用程序日志等。 所有这些机器数据将被摄入到Splunk软件中进行搜索和相关。

•可以轻松地在整个环境中搜索任何使用已知的管理帐户,如“Administrator”和“root”和“sa”,并进行报告或提醒。

Control 5: Using Splunk Enterprise Security

ES提供了一个预建的仪表板,可以跟踪主机,网络设备,数据库等的“默认帐户”使用情况。 应将禁用默认帐户作为标准做法,或至少更改密码(参见图17)。

Control 5: Using Splunk User Behavior Analytics

Splunk UBA有几个模型,通过为每个帐户创建一个基线来跟踪用户行为。 例如,UBA包含Multi-Level Markovian Unusual Activity模型,它自动(通过无监督的机器学习)为每个帐户构建一个详细的Probabilistic Suffix Tree,并发现与事件序列中的正常行为有偏差(见图18)。 因此,如果以不寻常的方式使用具有管理员权限的帐户,则UBA很可能会产生表现此行为的异常和威胁。

2.6 审计日志的维护、监控和分析

Associated NIST Special Publication 800-53, Revision 4AC-23; AU-2,3,4,5,6,7,8,9,10,11,12,13,14; CA-7; IA-10; SI-4

Role of Splunk Software: EXECUTION

审计日志的维护,监控和分析是Splunk软件的核心竞争力。 Splunk平台无论格式,频率或音量如何,都能从企业架构中的任何来源使用日志,并将数据安全高效地索引到一系列集中的高性能文件中。索引的数据可以立即搜索,可报告,并可以向组织中的任何数量的安全调查员发出警报。

•日志数据可以以flat-file文件格式发送到Splunk软件,Windows事件日志,syslog,直接的REST API和许多其他方法。

•日志可以压缩和可选加密的方式传送。

•提供工具以确保集中式日志存储的安全性和防篡改性质。

•Splunk软件允许安全调查员随意应用安全和审计,具有实时或历史模式的选项。

•安全和审计逻辑可以转换为报告,警报,仪表板,feed和操作,例如,在安全工作流系统中创建事件。

•日志可以完全保真分析,只要您有磁盘空间。

Control 6: Using Splunk Enterprise Security

ES提供了一个Data Protection仪表板,根据上述数据完整性控制功能,验证摄入的日志数据是否尚未被篡改(见图19)。

2.7 电子邮件和Web的保护

Associated NIST Special Publication 800-53, Revision 4CA-7; CM-2,3,5,6,7,8,9,11; MA-4, RA-5, SA-4, SC-15, SC-34, SI-2,4

Role of Splunk Software: VERIFICATION & EXECUTION

电子邮件和Web的保护是通过在终端上的安全配置,以及安装在组织的电子邮件网关上的适当的扫描和阻止设备/系统来实现。在终端上,Web浏览器应该根据安全标准进行配置,所有Web请求都应通过可以记录URL请求的代理或下一代防火墙。在邮件网关内,还可以记录有关扫描和屏蔽活动以及更新活动的详细信息。

•Splunk软件可以安装在大多数终端上,以监视影响注册表项或已安装应用程序的安全配置的更改,使其不符合规定。或者,可以配置审核端点配置的任何系统,将这些结果记录到Splunk。

- 安全配置管理解决方案,如控制3中描述的那些在这里是有帮助的。

•Splunk软件可用于从代理和/或下一代防火墙收集访问日志,允许分析URL请求以识别潜在的恶意活动。例如,未经批准的浏览器用户名可以快速被隔离并采取行动。

•大多数邮件设备/扫描技术都可以将日志数据输出到Splunk,以分析允许/阻止的附件,从而识别潜在的恶意活动。

Control 7: Using Splunk Enterprise Security

•来自终端监控技术的信息输入“Endpoint Changes”仪表板(参见图20),可以显示终端网络浏览器配置的更改。这允许SOC人员找到可能允许恶意代码进入环境的系统。

  •来自诸如本机Microsoft更新日志的源的终端更新信息会驱动“Update Center”仪表板(参见图21)。

 •代理或下一代防火墙日志数据显示在Web Center(参见图22)和Web Search仪表板中。此数据还输入到User Activity, HTTP Category Analysis, and HTTP User Agent Analysis仪表板。而且,ES会自动将代理数据中找到的URL与从各种公共域名威胁列表中收集的已知恶意URL相关联。

 •ES附带的电子邮件数据模型(也是公共信息模型的一部分)允许分析各种电子邮件特性,包括异常发送者,大型附件,附件散列,扫描功能等等。

Control 7: Using Splunk User Behavior Analytics

Splunk UBA有几种模型,可以从设备(终端)寻找不寻常的通信。 以无监督的方式,Splunk UBA查看代理日志和防火墙日志中的网络数据,并为端口,应用程序,源和目标区域以及用户代理字符串找到异常事件(参见图23)。 UBA还包含一个检测浏览器利用的模型。 然后,将这些事件表示为异常,并将多个异常进行组合以呈现威胁。 基于这些信息,可以通过安全分析人员快速定位异常设备。

2.8 恶意软件防护

Associated NIST Special Publication 800-53, Revision 4CA-7; SC-39,44; SI-3,4,8

Role of Splunk Software: VERIFICATION & EXECUTION

恶意软件防御是通过像McAfee,Symantec,Sophos等供应商的端点保护程序完成的。像Bit9这样的厂商的白名单也起到了支撑作用。但是,可以通过使用Splunk软件实现对可移动介质活动的监视。 Splunk还可以确认反病毒软件正在运行,并且基于进程或日志文件监视进行安装。

•Splunk软件可以从任何防病毒或反恶意软件管理工具中解析日志文件。这些日志文件通常是syslog或Windows事件日志格式,并且包含每个条目的时间戳,提供有关各个主机上恶意软件发现和隔离活动状态的详细信息。几个技术附件可从免费下载,支持流行的防病毒产品,如Sophos,Trend Micro,和Symantec Endpoint Protection和Antivirus。

•Splunk软件可以在供应商特定的数据库中访问防病毒扫描信息。这些数据库包含单个工作站信息,并在特定主机上提供恶意软件发现和隔离活动。

•使用脚本输入和监控日志文件的输入,Splunk软件可以评估特定服务器的配置。

•Splunk软件还可以使用脚本输入来确保适当的防病毒或反恶意软件可执行文件和服务正在运行。

Control 8: Using Splunk Enterprise Security

反病毒和反恶意软件产品的信息输入Malware Center, Malware Search and Malware Operations仪表板(参见图24,25和26)。 这些仪表板包括来自防火墙,IDS,系统日志,Windows域信息和相关网络来源的信息,以便在整个环境中提供恶意软件管理活动和源数据的完整视图。 通过使用这些仪表板,SOC人员可以验证客户端是否具有部署了更新定义的防病毒和反恶意软件产品。 这允许SOC人员快速识别环境中最新最流行的恶意软件。

 许多组织有多个防病毒或反恶意软件产品。 ES将不同产品可用的数据映射到通用信息模型(CIM)中,从而将这些产品的信息显示在相同的仪表板上,并轻松关联。

Control 8: Using Splunk User Behavior Analytics

Splunk UBA有几种基于数据科学的模型,以无监督的方式工作,以检测受感染设备的通信。 除了为控制7描述的能力外,UBA还包含一个IP Malware Communication””模型,它可以查看从终端与异常IP地址,地理位置或域的不寻常通信(见图27)。 UBA还可以将此信息与外部威胁列表相关联。 基于这些信息,安全分析人员快速识别通信异常的设备。

2.9 网络端口、协议和服务的限制和控制

Associated NIST Special Publication 800-53, Revision 4AT-1,2,3,4; SA-11,16; PM-13,14,16

Role of Splunk Software: VERIFICATION

网络端口的限制和控制主要通过Nmap,Nessus,RedSeal,Qualys和Nexpose等发现和漏洞管理工具来实现。

•Splunk软件可以接收来自任何发现或漏洞管理工具的定期生成的报告。该数据通常包括对所找到的网络端口和协议的描述。

•提供技术附件或应用程序支持以下内容:

- Nessus的Splunk插件

- Nmap

- Tripwire IP360

- 其他VA / VM /发现应用程序可以通过日志文件轻松和报告集成到Splunk中。

•一旦发现和漏洞数据被摄取,每个发现的协议和端口的记录都保存在Splunk中。随着新数据的捕获,Splunk软件可以轻松识别扫描之间的变化。

•Splunk软件可以将发现的端口和协议数据与其他数据源相关联,例如包含授权端口列表或维护的协议列表的查找表不应该出现在网络上。

Control 9: Using Splunk Enterprise Security

•ES包含各种查找,关联搜索和仪表板,可以帮助您检测网络上不正当和未授权的端口,协议和流量。

•ES包含两个用于网络保护和威胁情报的附加组件。这些附件包括应用程序协议、感兴趣的端口和禁止进程的文件。 Splunk软件的相关搜索和仪表板参考这些列表,以确定环境中看到的端口,协议和服务是否被授权或未经授权。这些查找可以手动或通过现有数据源自动填充。

•ES中检测异常或未经授权的网络活动的相关搜索包括但不限于:

- 重要主机的大量流量

- 检测到网络变化

- 检测到SANS Block List Activity

- 网络事件大幅增加

- 端口活动大幅增加

- 检测到未批准的端口活动

- 网络活动异常量

•特定于端口和协议活动的仪表板包括Traffic Center and Traffic Search(见图28和29)和三个漏洞仪表板。还有一个Port&Protocol Tracker仪表盘。

•另一个可用于查找异常网络行为的仪表板是Traffic Size analysis仪表板(参见图30)。这可以找到每个请求是大字节的连接,以及具有大量连接尝试但小字节大小的设备。在此仪表板上显示的异常活动可能表示数据丢失问题。

2.10 数据恢复能力

Associated NIST Special Publication 800-53, Revision 4CP-9,10; MP-4

Role of Splunk Software: VERIFICATION

•Splunk软件可以使用任何备份解决方案的常规备份活动的日志。 流行的解决方案包括EMC,IBM,CommVault,Symantec和HP等供应商的产品。

•可以创建仪表板来显示关键和敏感的系统及其备份状态。

•从EMC Networker日志文件创建的仪表板示例如下图所示(参见图32)。

2.11 网络设备如防火墙,路由器和交换机的安全配置

Associated NIST Special Publication 800-53, Revision 4AC-4; CA-3,7,9; CM-2,3,5,6,8; MA-4; SC-24; SI-4

Role of Splunk Software: VERIFICATION & EXECUTION

Splunk软件接受来自任何网络策略管理工具的定期生成的报告。

通过摄取这些数据源,每个设备的安全配置的记录都保存在Splunk软件中。 这样可以方便Splunk软件查看扫描之间的变化,以确定新的或不同的配置。

Splunk软件可以将NPM数据与其他数据源相关联,例如包含特定设备应配置的合规策略的CMDB。

通过监控日志文件,Splunk软件可以评估设备配置错误配置的证据。

Control 11: Using Splunk Enterprise Security

当一个错误配置的网络设备被利用时,通常在环境中可以看到异常的端口或流量,这可以确定未经授权的配置。 ES包含几种相关规则来寻找这种行为。 另外,Port & Protocol Tracker(前面提到的)Traffic Center(前面提到的),Network Changes(见图33),Web Center(前面提到的)和时间中心(前面提到的)仪表板都可以用来显示网络的证据 不符合安全配置标准的设备。

2.12 边界防护

Associated NIST Special Publication 800-53, Revision 4AC-4,17,20; CA-3,7,9; CM-2; SA-9; SC-7,4; SI-4

Role of Splunk Software: VERIFICATION

Splunk软件可以分析流量发现C&C机器的通信,这些机器通常使用新的、瞬时域名注册。

Control 12: Using Splunk Enterprise Security

ES对来自防火墙,代理服务器和IDS / IPS的所有机器数据根据Splunk通用信息模型进行标准化,即使来自多个供应商也可以跨数据标准化字段名称。 从那里,Splunk软件可以使用公共字段名称来驱动数据的相关性,告警和搜索。 从防火墙,IDS / IPS和代理数据驱动的Splunk Enterprise Security中的仪表板包括Traffic Center(前面提到的),Intrusion Center(参见图34),Intrusion Search和Web Center(前面提到的)。

2.13 数据保护

Associated NIST Special Publication 800-53, Revision 4,AC-3,4,23; CA-7,9; IR-9; MP-5; SA-18; SC-8,28,31,41; SI-4

Role of Splunk Software: VERIFICATION

数据防泄露通常由DLP系统完成。然而,DLP解决方案并不是灵丹妙药。如果在边界部署DLP,在同一网段上从一个内部主机到另一个内部主机的信息外泄是是不可检测的。基于主机的DLP在BYOD环境中可以被恶意代码远程禁用。

  •通过摄取防火墙日志,代理日志和流数据(通常通过syslog和专用流收集器),Splunk可以很好地了解组织网络边界内外的整体流量。一旦这些数据被摄取,就可以以自动的方式分析这些异常行为:

   - 新的或罕见的地址或通信到未经授权的地理位置

  - 出现在流量模式中的新的或罕见的端口

   - 一般的关键主机通常没有发送大量的数据

  - 与威胁列表中列出的主机进行主机通信

- 主机与最近注册的DNS域进行通信

 •Splunk自动提取源,目的地和端口信息以及可用的字节数。Splunk Enterprise Security被设置为获取流量和数据包数据,Splunk软件可以为网络流量数据搜索提供更多细节。

•Splunk可以帮助调查人员了解数据泄漏的范围。 Splunk可以通过标准主机日志文件和注册表监控来观看可移动介质的使用情况,并在检测到可移动介质时发出警报或报告。

 •Splunk平台可以分析有关物理安全系统的数据,例如运动检测器,压力传感器,邻近标志访问日志和其他“非IT”数据源,以便了解用户位置和访问时间。该信息可以与Splunk中的其他数据相关联,例如,授权员工进入安全区域,然后访问安全区域外的系统。

Control 13: Using Splunk Enterprise Security

•ES包括直接适用于控制13的各种相关搜索,并可以帮助查找数据泄露的尝试,例如:

  - 高流量

  - 观察到的关键主机

- 网络事件大幅增加

   - 端口活动大幅增加

   - 网络活动异常量   •ES包括可以帮助检测数据丢失的多个仪表板,包括Traffic Center,,流量搜索和Traffic Size,,以及New Domain Analysis(见图35)和DNS活动,以查找DNS TXT exfiltration的迹象(见图36)。

Control 13: Using Splunk User Behavior Analytics

Splunk UBA具有几种基于数据科学的模型,它们以无监督的方式工作,以检测数据泄露正在发生。 具体来说,UBA包含一个异常值分析模型,它将数据传输的正常模式与实时发生的事情进行比较:这是在每个设备和每个帐户的基础上完成的(参见图37)。 当看到异常的数据传输模式时,这些异常情况就会出现定义为威胁,然后提交给分析人员进行进一步的调查。

2.14 基于Need to Know的防护控制

Control 14: Associated NIST Special Publication 800-53, Revision 4,AC-1,2,3,6,24; CA-7; MP-3; RA-2; SC-16; SI-4

Role of Splunk Software: VERIFICATION

Splunk从所有系统中获取身份验证日志,以确定谁在登录哪些应用程序以及访问的位置。 对象(通常是文件,注册表或数据库)访问审核日志也被捕获在Splunk中,然后可以跨数据关联以报告谁正确(和错误地)访问敏感信息。

  •可以根据已建立的分类方案,对数据和目录服务器和CMDB中看到的用户名进行相关性,以确定用户是否应该访问数据。

Control 14: Using Splunk Enterprise Security

•ES包含一个Identity Center(见图38)和Asset Center(前面提到的)。 此功能允许Splunk管理员将资产和身份映射到业务单位和类别。 然后,ES将关于这些资产和身份的任何活动相关联,以便安全调查员能够一目了然地了解特定身份是否应该访问特定资产。

 • ES还包含两个交互式数据可视化工具,称为Asset Investigator(前面提到的)和Identity Investigator,允许安全调查员查看资产以及随着时间发生在该资产或身份周围的所有事件(见图39)。

2.15 无线访问控制

Associated NIST Special Publication 800-53, Revision 4,AC-18,19; CA-3,7; CM-2, IA-3; SC-8,17,40; SI-4

Role of Splunk Software: VERIFICATION

•Splunk接受来自WIPS工具的定期生成的日志文件,并为特定的WIPS提供免费技术附加功能,例如可在Splunk Enterprise Security中使用的Motorola AirDefense。

•当检测到无线接入点时,Splunk软件可以将MAC地址与资产数据库相关联,以确保它是授权设备。 如果CMDB包含设备的管理状态,Splunk也可以关联该信息。

•用于PCI-DSS的Splunk应用程序包含无线网络错误配置仪表板(参见图40)。 此报告可轻松共享到Splunk Enterprise或Splunk Enterprise Security。

2.16 账号监控和控制

Associated NIST Special Publication 800-53, Revision 4,AC-2,3,7,11,12; CA-7; IA-5,10; SC-17,23; SI-4

Role of Splunk Software: VERIFICATION(验证)

Splunk从所有系统中获取身份验证日志,以确定谁在登录哪些应用程序以及访问的位置。 然后,Splunk可以跨数据进行关联,以报告何时使用不在白名单中的帐户。 其他相关性包括能够确定:   - 多个帐户是否使用一个IP地址访问数据  - 是否正在使用属于“过期”用户的帐户  - 长期处于休眠状态的帐户是否突然显示活动  - 是否使用新帐户访问关键资源  - 是否将帐户用于访问与生活状况发生变化(婚姻,家庭死亡)或被放置在绩效计划或终止表上的用户相关联的关键资源

Control 16: Using Splunk Enterprise Security

ES包含几个直接适用于此措施的关联搜索,包括:

- 过期用户身份的活动

- 无效帐户

- 检测到非活动帐户活动

•ES包含“Account Management”仪表板,允许安全调查员查看整个环境中的整体帐户管理活动(参见图41)。

•ES包含Access Tracker仪表板(参见图42),它有助于监控和关联多个用户名的用户活动,特别是在没有单点登录(SSO)解决方案的组织中。

2.17 安全技能评估和培训填补差距

Associated NIST Special Publication 800-53, Revision 4AT-1,2,3,4; SA-11,16; PM-13,14,16

寻找知识差距,进行练习和培训:制定安全技能评估计划,根据每项工作所需的技能进行培训,并使用结果分配资源以改善安全实践。

Role of Splunk Software: VERIFICATION & EXECUTION(验证和执行)

Control 17: Using Splunk Enterprise Security

ES包含多个仪表板,有助于了解企业环境中的访问模式。 The Session Center仪表板对于识别具有长VPN会话的用户非常有用(参见图43)。

•摄取到Splunk中的身份信息可以在ES中用作Identity Center中的“身份”(见图44),Splunk软件可以将任何传入的信息与已知身份列表相关联。 这使得安全调查员能够即时访问身份信息,例如姓名,电话,业务部门,类别,电子邮件,管理员等。 该资产列表可以由外部源(如目录服务器或CMDB)自动填充,并且还可以通过身份匹配来补偿多个用户名格式。

•ES包含Access Center仪表板(参见图45),它还有助于跟踪环境中的正常和非特权访问。

Control 17: Using Splunk User Behavior Analytics

Splunk UBA具有几种基于数据科学的模型,它们以无监督的方式工作,以检测以偏离正常方式使用的帐户的模式。 具体来说,UBA包含一个异常值分析模型,用于比较正常的帐户使用模式与实时发生的模式; 这是以每个帐户为基础完成的。(见图46)。

2.18 应用软件安全

Associated NIST Special Publication 800-53, Revision 4,SA-13,15,16,17,20,21; SC-39; SI-10,11,15,16

基于Web和其他应用软件的中和漏洞:仔细测试内部开发的和第三方应用软件的安全漏洞,包括编码错误和恶意软件。 部署Web应用程序防火墙,检查所有流量的,并明确检查所有用户输入(包括大小和数据类型)中的错误。

Role of Splunk Software: VERIFICATION & EXECUTION(验证和执行)

应用程序软件安全通常通过执行静态和动态应用程序安全测试的工具来完成,例如像QualysGuard WAS,Whitehat Sentinel和Tripwire Webapp360这样的Web应用程序扫描程序。 Web应用程序防火墙包括Imperva SecureSphere,Barracuda WAF Vx和Cisco ACE等产品。 这些工具大多着重关注OWASP十大漏洞和其他漏洞。 Splunk软件可以监控这些工具的日志文件输出以及流量检测防火墙,并可以实时分析进入Web应用程序的用户输入。

Control 18: Using Splunk Enterprise Security

ES包含几个相关搜索和仪表板,以帮助查找基于Web的应用程序的漏洞和攻击。 HTTP用户代理分析和URL长度分析仪表板有两个示例(参见图47和48)。 使用HTTP用户代理分析,很容易发现不寻常的用户代理(基于标准偏差和Z分数)。 然后可以评估这些用户代理字符串,以获取SQL注入和其他威胁的证据。 使用URL长度分析,可以再次基于标准偏差和Z分数来发现Splunk中包含URL字符串的任何信息。 具有异常长度的URL通常是包括嵌入式SQL,XSS等等的证据。

2.19 事件响应和管理

Associated NIST Special Publication 800-53, Revision 4IR-1,2,3,4,5,6,7,8,10

保护组织的声誉及其信息:制定事件响应计划,具有明确划分的角色和责任,以快速发现攻击,然后有效地消除攻击者的影响,并恢复网络和系统的完整性。

Role of Splunk Software: SUPPORT

事件响应和管理侧重于组织中制定的政策和程序,而不是直接的技术要求。

控制19:使用Splunk Enterprise Security

在本文显示了ES中的许多仪表板和可视化界面,可以实时查看,立即向安全人员提供反馈。

2.20 渗透测试和红队演习

Associated NIST Special Publication 800-53, Revision 4CA-2,5,6,8; RA-6; SI-6; PM-6,14

使用模拟攻击来提高组织准备状态:进行定期的内部和外部渗透测试,模拟攻击,以识别漏洞,并衡量潜在的损害。 使用周期性的红队练习 - 尝试获取关键数据和系统,以测试现有的防御和响应能力。

Role of Splunk Software: SUPPORT

这些训练与技术要求没有直接的关系。

控制20:使用Splunk Enterprise Security

•ES包含资产中心和身份中心的功能,其中有关资产和身份的已知信息集中在一系列的表中。渗透人员和红队成员可以在进行活动后,使用这些信息来了解哪些资产或身份对组织具有高价值。

(三)结论

在本文档中,我们展示了Splunk软件如何帮助您的组织执行要求,以确认或支持CIS Critical Security Controls。 Splunk平台是一个灵活多变的解决方案,在保护您的组织免受已知,高级和新兴的网络威胁方面发挥不可或缺的作用。

特定于CIS CSC 6.0版本,Splunk软件更重要,因为控制措施现在专注于在安全组织中启用“追踪”,而不是分层预防的旧标准。这是Splunk的灵活性,可扩展性和可配置性的独特强大优势。此外,Splunk的最新软件包括Splunk Enterprise Security,Splunk App for Stream和Splunk用户行为分析,为CIS CSC提供了更为紧密的支持。

 Splunk Enterprise是一个基于软件的解决方案,可以在几分钟内在您的组织中启动并运行,从而允许您以前所未有的方式对安全性数据进行索引,探索和分析。