Splunk und das Triage Tool THOR

1. Copyright*©*2014*Splunk,*Inc.
Copyright* ©*2014*Splunk,*Inc.
Splunk und*das*Triage*
Tool*THOR

2. Copyright*©*2014*Splunk,*Inc.
Ihr Webcast*Team
2
Matthias'Maier
Senior*Sales*Engineer
mmaier@splunk.com
Michael'Hochenrieder
Senior*Information*Security*Consultant
Hochenrieder@hvsHconsulting.de
Florian'Roth
Senior*Information*Security*Engineer
florian.roth@bskHconsulting.de

3. Copyright*©*2014*Splunk,*Inc.
Agenda
3
• Splunk kurzer Überblick
• Beispiele*von*APT’s
• Einsatzzweck und*Technologieansatz
• THOR*in*Splunk
• Best*Practice*Approach
• Q&A

4. Copyright*©*2014*Splunk,*Inc.
GPS,*RFID,*Hypervisor,* Web
Servers,*Email,*Messaging,
Clickstreams,*Mobile,*
Telephony,* IVR,*Databases*
Splunk:*The*Engine*For*Machine*Data
Report'
and'
analyze
Custom'
dashboards
Monitor'
and'alert
Ad'hoc'
search
Splunk'storage
Real=time
Machine'Data
Sensors,* Telematics,
Storage,* Servers,
Security* devices,*
Desktops,* CDRs
Developer
Platform
Other'Big'Data'stores
4

5. Copyright*©*2014*Splunk,*Inc.
Splunk*is*Used*Across*IT*and*the*Business
IT
Ops
Security Compliance
App
Mgmt
Web*
Intelligence
Business*
Analytics
5

6. Copyright*©*2014*Splunk,*Inc.
Splunk Security*Use*Cases
More%than%a%SIEM;%a%Security%Intelligence%Platform
6
IT
Operations
Applicatio
n*Delivery
Business*
Analytics
Industrial*
Data*and*
Internet*of*
Things
Business*
Analytics
Industrial*
Data*and*
Internet*of*
Things
Security,**
Compliance,
and*Fraud
SECURITY*&**********
COMPLIANCE*
REPORTING
MONITORING*
OF*KNOWN*
THREATS
ADVANCED*
THREAT*
DETECTION
INCIDENT*
INVESTIGATIO
NS*&*
FORENSICS
FRAUD*
DETECTION
INSIDER*
THREAT
AV*CLEAN*
UP*
VERIFICATIO
N
USER*ACTIVITY*
MONITORING
ALERT*&*
MALWARE
VALIDATIO
N
MALWARE*&*
MALICIOUS*
CALLBACKS
EMAIL*ATTACK*
DETECTION

7. Copyright*©*2014*Splunk,*Inc.
120+'security'appsSplunk'App'for'
Enterprise'Security
Products:*Splunk*Enterprise*+*Apps
Palo*Alto*
Networks
NetFlow*Logic FireEye
Blue*Coat*
Proxy*SGTHOR
Cisco*Security*
Suite
Active*
Directory
F5*Security Juniper
Sourcefire
Snort
Asset*
Discovery
7

8. Copyright*©*2014*Splunk,*Inc.
SPLUNK*Webcast:*
Ein*neuer*Weg*zur*Erkennung*von*APT’s
Splunk*und*APTHDetection Tool*THOR*
Florian*Roth
Michael*Hochenrieder
24.04.2015

9. SPLUNK Webcast:
Ein neuer Weg zur Erkennung von APT’s
Splunk und APT-Detection Tool THOR
Florian Roth
Michael Hochenrieder 24.04.2015

10. Ihre Gastgeber
24.04.2015 Folie 2
Florian Roth
Senior Information Security Engineer
bsk Consulting GmbH
Michael Hochenrieder
Senior Information Security Consultant
HvS-Consulting AG
Restricted: for project use only

11. Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie
diese funktionieren
Einsatzzweck und Technologieansatz des APT-Scanners THOR
Wie Sie die Informationen von THOR in Splunkauswerten
Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen
Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“
Ihre Systeme auf APT’s scannen können
Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert
24.04.2015 Folie 3Restricted: for project use only

12. Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie
diese funktionieren
Einsatzzweck und Technologieansatz des APT-Scanners THOR
Wie Sie die Informationen von THOR in Splunkauswerten
Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen
Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“
Ihre Systeme auf APT’s scannen können
Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert
24.04.2015 Folie 4Restricted: for project use only

13. Definition Advanced Persistent Threats (APT)
Advanced (fortgeschritten)
• erhebliche technische Kenntnisse der Angreifer
• straff organisierter Angriff auf spezifische Ziele
• unauffällig
Persistent (andauernd)
• Kombination von mehreren Angriffsvektoren
• langfristig angelegt, um Ziel zu erreichen
Threat (Bedrohung)
• Abfluss von vertraulichen Informationen
• (Angriffe auf kritische Infrastrukturen)
Folie 524.04.2015 Restricted: for project use only

14. APT-Angriffsvektoren
Angreifer
Social
Engineering
MenschenSysteme
Automatisierte
Angriffe
Schadsoftware DoS Attacken
Ausnutzen von
Schwachstellen
Advanced Persistent Threat
Spear
Phishing
Folie 624.04.2015 Restricted: for project use only

15. APT-Angriffsvektoren
Angreifer
Social
Engineering
MenschenSysteme
Automatisierte
Angriffe
Schadsoftware DoS Attacken
Ausnutzen von
Schwachstellen
Advanced Persistent Threat
Spear
Phishing
Folie 724.04.2015 Restricted: for project use only

16. Angriffsziel Systeme
Niederlassung A Niederlassung B
Zentrale
Folie 824.04.2015 Restricted: for project use only

17. Beispiel: Persistent Access
Folie 924.04.2015 Restricted: for project use only

18. Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie
diese funktionieren
Einsatzzweck und Technologieansatz des APT-Scanners THOR
Wie Sie die Informationen von THOR in Splunk auswerten
Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen
Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“
Ihre Systeme auf APT’s scannen können
Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert
24.04.2015 Folie 10Restricted: for project use only

19. Warum ein APT-Scanner?
24.04.2015 Folie 11
Zuverlässige Früherkennung Schnelle Reaktion Effektive Schadensbegrenzung
Restricted: for project use only

20. APT-Scanner „THOR“
Scannt auf Hacktools und Angreifer-
aktivitäten (Triage Tool)
Portable – wird nicht installiert
Läuft auf allen Windows- und ausgewählten
Linux-Plattformen ohne zusätzliche Anforderungen
Anpassbar an die Verfahrensweise
und Werkzeuge der Angreifer
Scoring System zur Bewertung von Dateien, um
auch bisher unbekannte Malware zu erkennen
Diverse Exportmöglichkeiten
Individuelle Konfiguration und Drosselung
des Scanprozesses möglich
Kann zentral über GPO / Splunk-Forwarder etc.
verteilt werden
Folie 1224.04.2015 Restricted: for project use only

21. Abgrenzung zu anderen Tools
Folie 1324.04.2015 Restricted: for project use only

22. Funktionen und Signaturen
Folie 1424.04.2015 Restricted: for project use only

23. Command Line Output
Folie 1524.04.2015 Restricted: for project use only

24. HTML Report Output
Folie 1624.04.2015 Restricted: for project use only

25. Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie
diese funktionieren
Einsatzzweck und Technologieansatz des APT-Scanners THOR
Wie Sie die Informationen von THOR in Splunk auswerten
Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen
Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“
Ihre Systeme auf APT’s scannen können
Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert
24.04.2015 Folie 17Restricted: for project use only

26. Warum Splunk?
Hohe Flexibilität bei der Indizierung von
vielfältigen Meldungen
(jedes THOR Modul schreibt
unterschiedliche Meldungen)
Schnelles und einfaches Filtern von
False Positives
Einfaches Einbinden der von THOR
generierten Output-Formate (Syslog,
Textlog)
THOR eigene App / Add-on
Features zur Anomalie-Erkennung
(Big Data-Ansatz: Schnelle Erzeugung von
Tabellen, Filtern, Sortierungen,
Aggregationen)
24.04.2015 Folie 18Restricted: for project use only

27. Auswertung von THOR-Ergebnissen in Splunk
Security-Analysten-KnowHow / forensische Expertise ist notwendig,
Erfahrung mit APT hilfreich
Ggf. zahlreicheals „verdächtig“ gemeldete Objekte (mögliche False Positives),
abhängig von Firma und Standort
Alarmmeldungen bedeuten nicht unbedingt eineKompromittierung
Hilfreich ist oftmals das „Ansehen“ von Dateien, die gemeldet wurden
Folie 1924.04.2015 Restricted: for project use only

28. THOR Splunk App
Folie 2024.04.2015 Restricted: for project use only

29. Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie
diese funktionieren
Einsatzzweck und Technologieansatz des APT-Scanners THOR
Wie Sie die Informationen von THOR in Splunk auswerten
Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen
Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“
Ihre Systeme auf APT’s scannen können
Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert
24.04.2015 Folie 21Restricted: for project use only

30. Rollout von THOR
Folie 2224.04.2015 Restricted: for project use only

31. Rollout von THOR via SPLUNK
Folie 2324.04.2015
THOR Add-on enthält Skript, das
THOR von einem Netzwerkpfad
startet
THOR Logs werden als Scripted
Input auf den Forwardern
eingelesen
Viele Vorteile gegenüber Syslog:
– Gesicherte Übertragung (TCP, SSL)
– Keine Größenbeschränkung
– Caching
– Kein zusätzlicher, offener Port
Restricted: for project use only

32. Inhalte
Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie
diese funktionieren
Einsatzzweck und Technologieansatz des APT-Scanners THOR
Wie Sie die Informationen von THOR in Splunk auswerten
Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen
Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“
Ihre Systeme auf APT’s scannen können
Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert
24.04.2015 Folie 24Restricted: for project use only

33. THOR-Webseite: https://www.apt-detection.com
24.04.2015 Folie 25
Special THOR Trial 21 (ca. 80% der IoCs) für SPLUNK Webinar-Teilnehmer:
https://www.apt-detection.com/splunk-thor-request-form
Restricted: for project use only

34. Best Practice Ansatz
24.04.2015 Folie 26
Planung
• 1) Anforderung „Special THOR Trial 21“ für SPLUNK Webinar-Teilnehmer:
https://www.apt-detection.com/splunk-thor-request-form
• 2) Setup THOR-App for SPLUNK:
https://splunkbase.splunk.com/app/1717/
• 3) Test des Rollouts von THOR (via Splunk bzw. Windows GPO)
Scan
• Repräsentativer Scan von ausgewählten Systemen, z.B.
DMZ-Server, Domain Controller, File-Server, Mail-Server, MDM-Server
bzw. Workstations von kritischen Key-Usern z.B. Admins, Entwickler etc.
• Zentrales Reporting in THOR-App for SPLUNK
Analyse
• Auswertung durch qualifizierte Security-Analysten / CERT-Mitarbeiter
• Filterung von False Positives
• Nachverfolgung von Alarmen / Warnungen
• Im Zweifelsfall: Detail-Analysen (z.B. Malware-Analyse, Forensik)
Ggf. Input für neue Signaturen (IoCs) Re-Scan
Restricted: for project use only

35. Kontakt: info@apt-detection.com
Weitere Infos: https://www.apt-detection.com

36. Copyright*©*2014*Splunk,*Inc.
Next*Steps

37. Copyright*©*2014*Splunk,*Inc.
Contact*us
10
Matthias'Maier
Senior*Sales*Engineer
mmaier@splunk.com
Michael'Hochenrieder
Senior*Information*Security*Consultant
Hochenrieder@hvsHconsulting.de
Florian'Roth
Senior*Information*Security*Engineer
florian.roth@bskHconsulting.de
„Special*THOR*Trial*21“*für*SPLUNK*WebinarHTeilnehmer:
https://www.aptHdetection.com/splunkHthorHrequestHform

38. Copyright*©*2014*Splunk,*Inc.
Thank you!