Splunk und das Triage Tool THOR

5.501 Aufrufe

Veröffentlicht am

Splunk und das Triage Tool THOR

Veröffentlicht in: Software
0 Kommentare
2 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
5.501
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
2.131
Aktionen
Geteilt
0
Downloads
22
Kommentare
0
Gefällt mir
2
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Splunk und das Triage Tool THOR

  1. 1. Copyright*©*2014*Splunk,*Inc. Copyright* ©*2014*Splunk,*Inc. Splunk und*das*Triage* Tool*THOR
  2. 2. Copyright*©*2014*Splunk,*Inc. Ihr Webcast*Team 2 Matthias'Maier Senior*Sales*Engineer mmaier@splunk.com Michael'Hochenrieder Senior*Information*Security*Consultant Hochenrieder@hvsHconsulting.de Florian'Roth Senior*Information*Security*Engineer florian.roth@bskHconsulting.de
  3. 3. Copyright*©*2014*Splunk,*Inc. Agenda 3 • Splunk kurzer Überblick • Beispiele*von*APT’s • Einsatzzweck und*Technologieansatz • THOR*in*Splunk • Best*Practice*Approach • Q&A
  4. 4. Copyright*©*2014*Splunk,*Inc. GPS,*RFID,*Hypervisor,* Web Servers,*Email,*Messaging, Clickstreams,*Mobile,* Telephony,* IVR,*Databases* Splunk:*The*Engine*For*Machine*Data Report' and' analyze Custom' dashboards Monitor' and'alert Ad'hoc' search Splunk'storage Real=time Machine'Data Sensors,* Telematics, Storage,* Servers, Security* devices,* Desktops,* CDRs Developer Platform Other'Big'Data'stores 4
  5. 5. Copyright*©*2014*Splunk,*Inc. Splunk*is*Used*Across*IT*and*the*Business IT Ops Security Compliance App Mgmt Web* Intelligence Business* Analytics 5
  6. 6. Copyright*©*2014*Splunk,*Inc. Splunk Security*Use*Cases More%than%a%SIEM;%a%Security%Intelligence%Platform 6 IT Operations Applicatio n*Delivery Business* Analytics Industrial* Data*and* Internet*of* Things Business* Analytics Industrial* Data*and* Internet*of* Things Security,** Compliance, and*Fraud SECURITY*&********** COMPLIANCE* REPORTING MONITORING* OF*KNOWN* THREATS ADVANCED* THREAT* DETECTION INCIDENT* INVESTIGATIO NS*&* FORENSICS FRAUD* DETECTION INSIDER* THREAT AV*CLEAN* UP* VERIFICATIO N USER*ACTIVITY* MONITORING ALERT*&* MALWARE VALIDATIO N MALWARE*&* MALICIOUS* CALLBACKS EMAIL*ATTACK* DETECTION
  7. 7. Copyright*©*2014*Splunk,*Inc. 120+'security'appsSplunk'App'for' Enterprise'Security Products:*Splunk*Enterprise*+*Apps Palo*Alto* Networks NetFlow*Logic FireEye Blue*Coat* Proxy*SGTHOR Cisco*Security* Suite Active* Directory F5*Security Juniper Sourcefire Snort Asset* Discovery 7
  8. 8. Copyright*©*2014*Splunk,*Inc. SPLUNK*Webcast:* Ein*neuer*Weg*zur*Erkennung*von*APT’s Splunk*und*APTHDetection Tool*THOR* Florian*Roth Michael*Hochenrieder 24.04.2015
  9. 9. SPLUNK Webcast: Ein neuer Weg zur Erkennung von APT’s Splunk und APT-Detection Tool THOR Florian Roth Michael Hochenrieder 24.04.2015
  10. 10. Ihre Gastgeber 24.04.2015 Folie 2 Florian Roth Senior Information Security Engineer bsk Consulting GmbH Michael Hochenrieder Senior Information Security Consultant HvS-Consulting AG Restricted: for project use only
  11. 11. Inhalte Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren Einsatzzweck und Technologieansatz des APT-Scanners THOR Wie Sie die Informationen von THOR in Splunkauswerten Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“ Ihre Systeme auf APT’s scannen können Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert 24.04.2015 Folie 3Restricted: for project use only
  12. 12. Inhalte Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren Einsatzzweck und Technologieansatz des APT-Scanners THOR Wie Sie die Informationen von THOR in Splunkauswerten Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“ Ihre Systeme auf APT’s scannen können Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert 24.04.2015 Folie 4Restricted: for project use only
  13. 13. Definition Advanced Persistent Threats (APT) Advanced (fortgeschritten) • erhebliche technische Kenntnisse der Angreifer • straff organisierter Angriff auf spezifische Ziele • unauffällig Persistent (andauernd) • Kombination von mehreren Angriffsvektoren • langfristig angelegt, um Ziel zu erreichen Threat (Bedrohung) • Abfluss von vertraulichen Informationen • (Angriffe auf kritische Infrastrukturen) Folie 524.04.2015 Restricted: for project use only
  14. 14. APT-Angriffsvektoren Angreifer Social Engineering MenschenSysteme Automatisierte Angriffe Schadsoftware DoS Attacken Ausnutzen von Schwachstellen Advanced Persistent Threat Spear Phishing Folie 624.04.2015 Restricted: for project use only
  15. 15. APT-Angriffsvektoren Angreifer Social Engineering MenschenSysteme Automatisierte Angriffe Schadsoftware DoS Attacken Ausnutzen von Schwachstellen Advanced Persistent Threat Spear Phishing Folie 724.04.2015 Restricted: for project use only
  16. 16. Angriffsziel Systeme Niederlassung A Niederlassung B Zentrale Folie 824.04.2015 Restricted: for project use only
  17. 17. Beispiel: Persistent Access Folie 924.04.2015 Restricted: for project use only
  18. 18. Inhalte Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren Einsatzzweck und Technologieansatz des APT-Scanners THOR Wie Sie die Informationen von THOR in Splunk auswerten Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“ Ihre Systeme auf APT’s scannen können Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert 24.04.2015 Folie 10Restricted: for project use only
  19. 19. Warum ein APT-Scanner? 24.04.2015 Folie 11 Zuverlässige Früherkennung Schnelle Reaktion Effektive Schadensbegrenzung Restricted: for project use only
  20. 20. APT-Scanner „THOR“ Scannt auf Hacktools und Angreifer- aktivitäten (Triage Tool) Portable – wird nicht installiert Läuft auf allen Windows- und ausgewählten Linux-Plattformen ohne zusätzliche Anforderungen Anpassbar an die Verfahrensweise und Werkzeuge der Angreifer Scoring System zur Bewertung von Dateien, um auch bisher unbekannte Malware zu erkennen Diverse Exportmöglichkeiten Individuelle Konfiguration und Drosselung des Scanprozesses möglich Kann zentral über GPO / Splunk-Forwarder etc. verteilt werden Folie 1224.04.2015 Restricted: for project use only
  21. 21. Abgrenzung zu anderen Tools Folie 1324.04.2015 Restricted: for project use only
  22. 22. Funktionen und Signaturen Folie 1424.04.2015 Restricted: for project use only
  23. 23. Command Line Output Folie 1524.04.2015 Restricted: for project use only
  24. 24. HTML Report Output Folie 1624.04.2015 Restricted: for project use only
  25. 25. Inhalte Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren Einsatzzweck und Technologieansatz des APT-Scanners THOR Wie Sie die Informationen von THOR in Splunk auswerten Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“ Ihre Systeme auf APT’s scannen können Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert 24.04.2015 Folie 17Restricted: for project use only
  26. 26. Warum Splunk? Hohe Flexibilität bei der Indizierung von vielfältigen Meldungen (jedes THOR Modul schreibt unterschiedliche Meldungen) Schnelles und einfaches Filtern von False Positives Einfaches Einbinden der von THOR generierten Output-Formate (Syslog, Textlog) THOR eigene App / Add-on Features zur Anomalie-Erkennung (Big Data-Ansatz: Schnelle Erzeugung von Tabellen, Filtern, Sortierungen, Aggregationen) 24.04.2015 Folie 18Restricted: for project use only
  27. 27. Auswertung von THOR-Ergebnissen in Splunk Security-Analysten-KnowHow / forensische Expertise ist notwendig, Erfahrung mit APT hilfreich Ggf. zahlreicheals „verdächtig“ gemeldete Objekte (mögliche False Positives), abhängig von Firma und Standort Alarmmeldungen bedeuten nicht unbedingt eineKompromittierung Hilfreich ist oftmals das „Ansehen“ von Dateien, die gemeldet wurden Folie 1924.04.2015 Restricted: for project use only
  28. 28. THOR Splunk App Folie 2024.04.2015 Restricted: for project use only
  29. 29. Inhalte Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren Einsatzzweck und Technologieansatz des APT-Scanners THOR Wie Sie die Informationen von THOR in Splunk auswerten Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“ Ihre Systeme auf APT’s scannen können Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert 24.04.2015 Folie 21Restricted: for project use only
  30. 30. Rollout von THOR Folie 2224.04.2015 Restricted: for project use only
  31. 31. Rollout von THOR via SPLUNK Folie 2324.04.2015 THOR Add-on enthält Skript, das THOR von einem Netzwerkpfad startet THOR Logs werden als Scripted Input auf den Forwardern eingelesen Viele Vorteile gegenüber Syslog: – Gesicherte Übertragung (TCP, SSL) – Keine Größenbeschränkung – Caching – Kein zusätzlicher, offener Port Restricted: for project use only
  32. 32. Inhalte Beispiele von APT’s, die in deutschen Industrieunternehmen entdeckt wurden und wie diese funktionieren Einsatzzweck und Technologieansatz des APT-Scanners THOR Wie Sie die Informationen von THOR in Splunk auswerten Wie Sie THOR mithilfe des Splunk Deployment Servers verteilen Wie sie mit der kostenfreien „Special THOR Trial 21 für SPLUNK-Kunden“ Ihre Systeme auf APT’s scannen können Best Practice Approach für Splunk Kunden bei DAX-Konzernen validiert 24.04.2015 Folie 24Restricted: for project use only
  33. 33. THOR-Webseite: https://www.apt-detection.com 24.04.2015 Folie 25 Special THOR Trial 21 (ca. 80% der IoCs) für SPLUNK Webinar-Teilnehmer: https://www.apt-detection.com/splunk-thor-request-form Restricted: for project use only
  34. 34. Best Practice Ansatz 24.04.2015 Folie 26 Planung • 1) Anforderung „Special THOR Trial 21“ für SPLUNK Webinar-Teilnehmer: https://www.apt-detection.com/splunk-thor-request-form • 2) Setup THOR-App for SPLUNK: https://splunkbase.splunk.com/app/1717/ • 3) Test des Rollouts von THOR (via Splunk bzw. Windows GPO) Scan • Repräsentativer Scan von ausgewählten Systemen, z.B. DMZ-Server, Domain Controller, File-Server, Mail-Server, MDM-Server bzw. Workstations von kritischen Key-Usern z.B. Admins, Entwickler etc. • Zentrales Reporting in THOR-App for SPLUNK Analyse • Auswertung durch qualifizierte Security-Analysten / CERT-Mitarbeiter • Filterung von False Positives • Nachverfolgung von Alarmen / Warnungen • Im Zweifelsfall: Detail-Analysen (z.B. Malware-Analyse, Forensik) Ggf. Input für neue Signaturen (IoCs) Re-Scan Restricted: for project use only
  35. 35. Kontakt: info@apt-detection.com Weitere Infos: https://www.apt-detection.com
  36. 36. Copyright*©*2014*Splunk,*Inc. Next*Steps
  37. 37. Copyright*©*2014*Splunk,*Inc. Contact*us 10 Matthias'Maier Senior*Sales*Engineer mmaier@splunk.com Michael'Hochenrieder Senior*Information*Security*Consultant Hochenrieder@hvsHconsulting.de Florian'Roth Senior*Information*Security*Engineer florian.roth@bskHconsulting.de „Special*THOR*Trial*21“*für*SPLUNK*WebinarHTeilnehmer: https://www.aptHdetection.com/splunkHthorHrequestHform
  38. 38. Copyright*©*2014*Splunk,*Inc. Thank you!

×