ラボ 12 - transaction を使用した相関

これ以降 3 つのラボで、データを相関させるいくつかの方法を見ていきます。各 operator について下表にまとめます。

1. transaction operator を使用すると、一意のトランザクション識別子 (セッション ID や IP アドレスなど) に基づいて、関連する一連のメッセージを分析できます。transaction は、指定された一意の識別子を使用して、関連するメッセージをグループ化し、定義された状態に基づいて整理します。このラボでは、transaction operator を使用して、Labs/Snort ネットワーク侵入検知ログを Web アプリケーション攻撃で絞り込んで表示された IP に相関する Source IP を Labs/Apache/Access ログから検索します。両方のログ Source から src_ip を取得するには、両方の parse 手法が必要です。

_sourceCategory=Labs/Apache/Access or (_sourceCategory=Labs/Snort and "[Classification: Web Application Attack]")

| parse "{TCP} *:* -> *:*" as src_ip, src_port, dest_ip, dest_port nodrop /*for Labs/Snort */

| parse regex "(?<src_ip>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})" /* for Labs/Apache/Access */

| transaction on src_ip

 with states %"Labs/Snort", %"Labs/Apache/Access" in _sourceCategory

| where %"Labs/Snort">0 and %"Labs/Apache/Access">0

2. IP を特定したので、Threat Intel 検索を使用してこれらが侵入の痕跡 (IOC) であるかどうかを確認します。結果が返されなかった場合は、これらの IP アドレスに、CrowdStrike データベースで悪意のある IP アドレスとしてのフラグが立っていないということを意味します。

((_sourceCategory=Labs/Snort "[Classification: Web Application Attack]") or _sourceCategory=Labs/Apache/Access)

| parse "{TCP} *:* -> *:*" as src_ip, src_port, dest_ip, dest_port nodrop

| parse regex "(?<src_ip>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"

| transaction on src_ip

 with states %"Labs/Snort", %"Labs/Apache/Access" in _sourceCategory

| where %"Labs/Snort">0 and %"Labs/Apache/Access">0

| lookup type, actor, raw, threatlevel as malicious_confidence

 from sumo://threat/cs on threat=src_ip

| where !isEmpty(type)