Splunk SOAR 本月最佳行動手冊：使用行動手冊進行威脅搜尋

隨著SOC的不斷發展和成熟，它們在主動防禦中建立有效且可重複的程序至關重要。 這也意味著威脅搜尋需要成為一項關鍵功能。 許多高級和複雜的威脅能夠繞過更傳統的網路安全防禦，SOC 需要熟練的威脅獵人，他們能夠在威脅造成嚴重問題之前搜索、記錄、監控和修復威脅。

幸運的是，Splunk SOAR 可以通過狩獵手冊通過自動化的強大功能幫助威脅獵人輕鬆識別其環境中的潛在威脅。 在本月的本月行動手冊中，我們將瞭解如何使用Splunk SOAR的狩獵手冊以機器速度執行威脅搜尋活動。

什麼是威脅狩獵？
威脅獵人的工作是找到未知數。 威脅獵人通過大量安全數據進行分析，通過尋找工具可能未發現的可疑活動模式來搜索隱藏的惡意軟體或攻擊者的跡象。 他們還通過了解攻擊者的策略和技術來幫助開發深入的防禦方法，以便他們可以説明防止這種類型的網路攻擊。 他們使用通用框架，如MITRE ATT&CK來幫助它們適應當地環境。

行動手冊
搜尋行動手冊 查詢許多內部安全技術，以確定是否在您的環境中觀察到數據源中存在的任何專案。 以下是使用它的方法：

初始設置

1. 通過「添加事件」按鈕將 CSV 從威脅源載入到 Splunk SOAR 中
2. 選擇新創建的事件。 在「檔」選項卡中，從「瀏覽檔」按鈕中選擇CSV，或將檔拖到「拖放要上傳的檔」字段中。
3. 選擇為文件顯示的保管庫ID，然後選擇「運行操作」選項卡。 通過選擇「通用>提取ioc」從檔中提取必要的數據。 在出現的「運行操作」視窗中，將檔類型欄位調整為 CSV，輸入容器 ID，然後按右下角的「啟動」 按鈕。
4. 在「工件」選項卡上，選擇右上角的 3 個點以打開下拉功能表，並確保在「數據欄位」部分下選中 fileHash 選項。 這將通過超連結顯示您擁有的每個工件的 fileHash。

自訂行動手冊

1. 在行動手冊螢幕中，搜索「狩獵」預構建行動手冊並將其打開。
2. 選擇“尋線檔”操作塊，並將“輸入”下的哈希*字段調整為“檔哈希”
3.  添加篩選器塊並將參數設置為 hunt_file_1 > device_count。 選擇「大於」條件並將指定的值設置為 0。
4. 在此篩選器中，將操作塊添加到「列出進程」，並將ioc* 輸入調整為「filter_1 >哈希」，將id* 調整為「filter_1 > device_id」。
5. 使用設置「清單processes_1 > process_count向上一個操作博客添加其他篩選器。 選擇「大於」條件並將指定的值設置為 0。
6. 在此篩選器中，添加一個操作塊以“獲取進程詳細資訊”，將 process_id* 值設置為“filter_2 > process_id”。
7. 保存此自定義行動手冊

運行行動手冊

1. 按兩下「工件」選項卡中的「全選」複選框。
2. 按兩下右上角的「更多」按鈕，然後從下拉功能表中選擇「運行行動手冊」 選項。
3. 搜索您的自定義行動手冊，選擇它，然後點擊「運行行動手冊」按鈕

觀看視頻，瞭解此行動手冊和設置過程的實際應用。

有了這個，您現在就有了一個行動手冊來説明您自動搜尋入侵指標，識別環境中的這些威脅，瞭解受影響計算機的詳細資訊，並瞭解如何更好地探索受影響的文件系統。

請務必查看 research.splunk.com/playbooks 以探索更有用的行動手冊。 此外，如果您還沒有看過上個月的博客和視頻，請務必在此處查看它們。 我們期待聽到您對本月特色行動手冊以及您最近實施的任何其他行動手冊的體驗。 我們將在下個月帶著更多的行動手冊和演示回來，但在那之前，走出去，開始自動化吧！