Copyright*©*2014*Splunk,*Inc.
Copyright* ©*2014*Splunk,*Inc.
Splunk und*das*Triage*
Tool*THOR
Copyright*©*2014*Splunk,*Inc.
Ihr Webcast*Team
2
Matthias'Maier
Senior*Sales*Engineer
mmaier@splunk.com
Michael'Hochenried...
Copyright*©*2014*Splunk,*Inc.
Agenda
3
• Splunk kurzer Überblick
• Beispiele*von*APT’s
• Einsatzzweck und*Technologieansat...
Copyright*©*2014*Splunk,*Inc.
GPS,*RFID,*Hypervisor,* Web
Servers,*Email,*Messaging,
Clickstreams,*Mobile,*
Telephony,* IV...
Copyright*©*2014*Splunk,*Inc.
Splunk*is*Used*Across*IT*and*the*Business
IT
Ops
Security Compliance
App
Mgmt
Web*
Intellige...
Copyright*©*2014*Splunk,*Inc.
Splunk Security*Use*Cases
More%than%a%SIEM;%a%Security%Intelligence%Platform
6
IT
Operations...
Copyright*©*2014*Splunk,*Inc.
120+'security'appsSplunk'App'for'
Enterprise'Security
Products:*Splunk*Enterprise*+*Apps
Pal...
Copyright*©*2014*Splunk,*Inc.
SPLUNK*Webcast:*
Ein*neuer*Weg*zur*Erkennung*von*APT’s
Splunk*und*APTHDetection Tool*THOR*
F...
SPLUNK Webcast:
Ein neuer Weg zur Erkennung von APT’s
Splunk und APT-Detection Tool THOR
Florian Roth
Michael Hochenrieder...
Ihre Gastgeber
24.04.2015 Folie 2
Florian Roth
Senior Information Security Engineer
bsk Consulting GmbH
Michael Hochenried...
Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie
diese funktionieren
Einsatzzwec...
Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie
diese funktionieren
Einsatzzwec...
Definition Advanced Persistent Threats (APT)
Advanced (fortgeschritten)
• erhebliche technische Kenntnisse der Angreifer
•...
APT-Angriffsvektoren
Angreifer
Social
Engineering
MenschenSysteme
Automatisierte
Angriffe
Schadsoftware DoS Attacken
Ausnu...
APT-Angriffsvektoren
Angreifer
Social
Engineering
MenschenSysteme
Automatisierte
Angriffe
Schadsoftware DoS Attacken
Ausnu...
Angriffsziel Systeme
Niederlassung A Niederlassung B
Zentrale
Folie 824.04.2015 Restricted: for project use only
Beispiel: Persistent Access
Folie 924.04.2015 Restricted: for project use only
Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie
diese funktionieren
Einsatzzwec...
Warum ein APT-Scanner?
24.04.2015 Folie 11
Zuverlässige Früherkennung Schnelle Reaktion Effektive Schadensbegrenzung
Restr...
APT-Scanner „THOR“
Scannt auf Hacktools und Angreifer-
aktivitäten (Triage Tool)
Portable – wird nicht installiert
Läuft a...
Abgrenzung zu anderen Tools
Folie 1324.04.2015 Restricted: for project use only
Funktionen und Signaturen
Folie 1424.04.2015 Restricted: for project use only
Command Line Output
Folie 1524.04.2015 Restricted: for project use only
HTML Report Output
Folie 1624.04.2015 Restricted: for project use only
Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie
diese funktionieren
Einsatzzwec...
Warum Splunk?
Hohe Flexibilität bei der Indizierung von
vielfältigen Meldungen
(jedes THOR Modul schreibt
unterschiedliche...
Auswertung von THOR-Ergebnissen in Splunk
Security-Analysten-KnowHow / forensische Expertise ist notwendig,
Erfahrung mit ...
THOR Splunk App
Folie 2024.04.2015 Restricted: for project use only
Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie
diese funktionieren
Einsatzzwec...
Rollout von THOR
Folie 2224.04.2015 Restricted: for project use only
Rollout von THOR via SPLUNK
Folie 2324.04.2015
THOR Add-on enthält Skript, das
THOR von einem Netzwerkpfad
startet
THOR Lo...
Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie
diese funktionieren
Einsatzzwec...
THOR-Webseite: https://www.apt-detection.com
24.04.2015 Folie 25
Special THOR Trial 21 (ca. 80% der IoCs) für SPLUNK Webin...
Best Practice Ansatz
24.04.2015 Folie 26
Planung
• 1) Anforderung „Special THOR Trial 21“ für SPLUNK Webinar-Teilnehmer:
h...
Kontakt: info@apt-detection.com
Weitere Infos: https://www.apt-detection.com
Copyright*©*2014*Splunk,*Inc.
Next*Steps
Copyright*©*2014*Splunk,*Inc.
Contact*us
10
Matthias'Maier
Senior*Sales*Engineer
mmaier@splunk.com
Michael'Hochenrieder
Se...
Copyright*©*2014*Splunk,*Inc.
Thank you!
Nächste SlideShare
Wird geladen in …5
×

Splunk und das Triage Tool THOR

5.112 Aufrufe

Veröffentlicht am

Splunk und das Triage Tool THOR

Veröffentlicht in: Software
0 Kommentare
2 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
5.112
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
1.891
Aktionen
Geteilt
0
Downloads
18
Kommentare
0
Gefällt mir
2
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Splunk und das Triage Tool THOR

  1. 1. Copyright*©*2014*Splunk,*Inc. Copyright* ©*2014*Splunk,*Inc. Splunk und*das*Triage* Tool*THOR
  2. 2. Copyright*©*2014*Splunk,*Inc. Ihr Webcast*Team 2 Matthias'Maier Senior*Sales*Engineer mmaier@splunk.com Michael'Hochenrieder Senior*Information*Security*Consultant Hochenrieder@hvsHconsulting.de Florian'Roth Senior*Information*Security*Engineer florian.roth@bskHconsulting.de
  3. 3. Copyright*©*2014*Splunk,*Inc. Agenda 3 • Splunk kurzer Überblick • Beispiele*von*APT’s • Einsatzzweck und*Technologieansatz • THOR*in*Splunk • Best*Practice*Approach • Q&A
  4. 4. Copyright*©*2014*Splunk,*Inc. GPS,*RFID,*Hypervisor,* Web Servers,*Email,*Messaging, Clickstreams,*Mobile,* Telephony,* IVR,*Databases* Splunk:*The*Engine*For*Machine*Data Report' and' analyze Custom' dashboards Monitor' and'alert Ad'hoc' search Splunk'storage Real=time Machine'Data Sensors,* Telematics, Storage,* Servers, Security* devices,* Desktops,* CDRs Developer Platform Other'Big'Data'stores 4
  5. 5. Copyright*©*2014*Splunk,*Inc. Splunk*is*Used*Across*IT*and*the*Business IT Ops Security Compliance App Mgmt Web* Intelligence Business* Analytics 5
  6. 6. Copyright*©*2014*Splunk,*Inc. Splunk Security*Use*Cases More%than%a%SIEM;%a%Security%Intelligence%Platform 6 IT Operations Applicatio n*Delivery Business* Analytics Industrial* Data*and* Internet*of* Things Business* Analytics Industrial* Data*and* Internet*of* Things Security,** Compliance, and*Fraud SECURITY*&********** COMPLIANCE* REPORTING MONITORING* OF*KNOWN* THREATS ADVANCED* THREAT* DETECTION INCIDENT* INVESTIGATIO NS*&* FORENSICS FRAUD* DETECTION INSIDER* THREAT AV*CLEAN* UP* VERIFICATIO N USER*ACTIVITY* MONITORING ALERT*&* MALWARE VALIDATIO N MALWARE*&* MALICIOUS* CALLBACKS EMAIL*ATTACK* DETECTION
  7. 7. Copyright*©*2014*Splunk,*Inc. 120+'security'appsSplunk'App'for' Enterprise'Security Products:*Splunk*Enterprise*+*Apps Palo*Alto* Networks NetFlow*Logic FireEye Blue*Coat* Proxy*SGTHOR Cisco*Security* Suite Active* Directory F5*Security Juniper Sourcefire Snort Asset* Discovery 7
  8. 8. Copyright*©*2014*Splunk,*Inc. SPLUNK*Webcast:* Ein*neuer*Weg*zur*Erkennung*von*APT’s Splunk*und*APTHDetection Tool*THOR* Florian*Roth Michael*Hochenrieder 24.04.2015
  9. 9. SPLUNK Webcast: Ein neuer Weg zur Erkennung von APT’s Splunk und APT-Detection Tool THOR Florian Roth Michael Hochenrieder 24.04.2015
  10. 10. Ihre Gastgeber 24.04.2015 Folie 2 Florian Roth Senior Information Security Engineer bsk Consulting GmbH Michael Hochenrieder Senior Information Security Consultant HvS-Consulting AG Restricted: for project use only
  11. 11. Inhalte Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren Einsatzzweck und Technologieansatz des APT-Scanners THOR Wie Sie die Informationen von THOR in Splunkauswerten Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“ Ihre Systeme auf APT’s scannen können Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert 24.04.2015 Folie 3Restricted: for project use only
  12. 12. Inhalte Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren Einsatzzweck und Technologieansatz des APT-Scanners THOR Wie Sie die Informationen von THOR in Splunkauswerten Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“ Ihre Systeme auf APT’s scannen können Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert 24.04.2015 Folie 4Restricted: for project use only
  13. 13. Definition Advanced Persistent Threats (APT) Advanced (fortgeschritten) • erhebliche technische Kenntnisse der Angreifer • straff organisierter Angriff auf spezifische Ziele • unauffällig Persistent (andauernd) • Kombination von mehreren Angriffsvektoren • langfristig angelegt, um Ziel zu erreichen Threat (Bedrohung) • Abfluss von vertraulichen Informationen • (Angriffe auf kritische Infrastrukturen) Folie 524.04.2015 Restricted: for project use only
  14. 14. APT-Angriffsvektoren Angreifer Social Engineering MenschenSysteme Automatisierte Angriffe Schadsoftware DoS Attacken Ausnutzen von Schwachstellen Advanced Persistent Threat Spear Phishing Folie 624.04.2015 Restricted: for project use only
  15. 15. APT-Angriffsvektoren Angreifer Social Engineering MenschenSysteme Automatisierte Angriffe Schadsoftware DoS Attacken Ausnutzen von Schwachstellen Advanced Persistent Threat Spear Phishing Folie 724.04.2015 Restricted: for project use only
  16. 16. Angriffsziel Systeme Niederlassung A Niederlassung B Zentrale Folie 824.04.2015 Restricted: for project use only
  17. 17. Beispiel: Persistent Access Folie 924.04.2015 Restricted: for project use only
  18. 18. Inhalte Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren Einsatzzweck und Technologieansatz des APT-Scanners THOR Wie Sie die Informationen von THOR in Splunk auswerten Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“ Ihre Systeme auf APT’s scannen können Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert 24.04.2015 Folie 10Restricted: for project use only
  19. 19. Warum ein APT-Scanner? 24.04.2015 Folie 11 Zuverlässige Früherkennung Schnelle Reaktion Effektive Schadensbegrenzung Restricted: for project use only
  20. 20. APT-Scanner „THOR“ Scannt auf Hacktools und Angreifer- aktivitäten (Triage Tool) Portable – wird nicht installiert Läuft auf allen Windows- und ausgewählten Linux-Plattformen ohne zusätzliche Anforderungen Anpassbar an die Verfahrensweise und Werkzeuge der Angreifer Scoring System zur Bewertung von Dateien, um auch bisher unbekannte Malware zu erkennen Diverse Exportmöglichkeiten Individuelle Konfiguration und Drosselung des Scanprozesses möglich Kann zentral über GPO / Splunk-Forwarder etc. verteilt werden Folie 1224.04.2015 Restricted: for project use only
  21. 21. Abgrenzung zu anderen Tools Folie 1324.04.2015 Restricted: for project use only
  22. 22. Funktionen und Signaturen Folie 1424.04.2015 Restricted: for project use only
  23. 23. Command Line Output Folie 1524.04.2015 Restricted: for project use only
  24. 24. HTML Report Output Folie 1624.04.2015 Restricted: for project use only
  25. 25. Inhalte Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren Einsatzzweck und Technologieansatz des APT-Scanners THOR Wie Sie die Informationen von THOR in Splunk auswerten Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“ Ihre Systeme auf APT’s scannen können Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert 24.04.2015 Folie 17Restricted: for project use only
  26. 26. Warum Splunk? Hohe Flexibilität bei der Indizierung von vielfältigen Meldungen (jedes THOR Modul schreibt unterschiedliche Meldungen) Schnelles und einfaches Filtern von False Positives Einfaches Einbinden der von THOR generierten Output-Formate (Syslog, Textlog) THOR eigene App / Add-on Features zur Anomalie-Erkennung (Big Data-Ansatz: Schnelle Erzeugung von Tabellen, Filtern, Sortierungen, Aggregationen) 24.04.2015 Folie 18Restricted: for project use only
  27. 27. Auswertung von THOR-Ergebnissen in Splunk Security-Analysten-KnowHow / forensische Expertise ist notwendig, Erfahrung mit APT hilfreich Ggf. zahlreicheals „verdächtig“ gemeldete Objekte (mögliche False Positives), abhängig von Firma und Standort Alarmmeldungen bedeuten nicht unbedingt eineKompromittierung Hilfreich ist oftmals das „Ansehen“ von Dateien, die gemeldet wurden Folie 1924.04.2015 Restricted: for project use only
  28. 28. THOR Splunk App Folie 2024.04.2015 Restricted: for project use only
  29. 29. Inhalte Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren Einsatzzweck und Technologieansatz des APT-Scanners THOR Wie Sie die Informationen von THOR in Splunk auswerten Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“ Ihre Systeme auf APT’s scannen können Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert 24.04.2015 Folie 21Restricted: for project use only
  30. 30. Rollout von THOR Folie 2224.04.2015 Restricted: for project use only
  31. 31. Rollout von THOR via SPLUNK Folie 2324.04.2015 THOR Add-on enthält Skript, das THOR von einem Netzwerkpfad startet THOR Logs werden als Scripted Input auf den Forwardern eingelesen Viele Vorteile gegenüber Syslog: – Gesicherte Übertragung (TCP, SSL) – Keine Größenbeschränkung – Caching – Kein zusätzlicher, offener Port Restricted: for project use only
  32. 32. Inhalte Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren Einsatzzweck und Technologieansatz des APT-Scanners THOR Wie Sie die Informationen von THOR in Splunk auswerten Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“ Ihre Systeme auf APT’s scannen können Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert 24.04.2015 Folie 24Restricted: for project use only
  33. 33. THOR-Webseite: https://www.apt-detection.com 24.04.2015 Folie 25 Special THOR Trial 21 (ca. 80% der IoCs) für SPLUNK Webinar-Teilnehmer: https://www.apt-detection.com/splunk-thor-request-form Restricted: for project use only
  34. 34. Best Practice Ansatz 24.04.2015 Folie 26 Planung • 1) Anforderung „Special THOR Trial 21“ für SPLUNK Webinar-Teilnehmer: https://www.apt-detection.com/splunk-thor-request-form • 2) Setup THOR-App for SPLUNK: https://splunkbase.splunk.com/app/1717/ • 3) Test des Rollouts von THOR (via Splunk bzw. Windows GPO) Scan • Repräsentativer Scan von ausgewählten Systemen, z.B. DMZ-Server, Domain Controller, File-Server, Mail-Server, MDM-Server bzw. Workstations von kritischen Key-Usern z.B. Admins, Entwickler etc. • Zentrales Reporting in THOR-App for SPLUNK Analyse • Auswertung durch qualifizierte Security-Analysten / CERT-Mitarbeiter • Filterung von False Positives • Nachverfolgung von Alarmen / Warnungen • Im Zweifelsfall: Detail-Analysen (z.B. Malware-Analyse, Forensik) Ggf. Input für neue Signaturen (IoCs) Re-Scan Restricted: for project use only
  35. 35. Kontakt: info@apt-detection.com Weitere Infos: https://www.apt-detection.com
  36. 36. Copyright*©*2014*Splunk,*Inc. Next*Steps
  37. 37. Copyright*©*2014*Splunk,*Inc. Contact*us 10 Matthias'Maier Senior*Sales*Engineer mmaier@splunk.com Michael'Hochenrieder Senior*Information*Security*Consultant Hochenrieder@hvsHconsulting.de Florian'Roth Senior*Information*Security*Engineer florian.roth@bskHconsulting.de „Special*THOR*Trial*21“*für*SPLUNK*WebinarHTeilnehmer: https://www.aptHdetection.com/splunkHthorHrequestHform
  38. 38. Copyright*©*2014*Splunk,*Inc. Thank you!

×