使用 Splunk Enterprise Security 的資產和身分識別架構

發布日期:2023/08/17

貴組織目前在 SIEM 方面使用了一個無法提供警示相關資訊的網路安全平台。因此,您決定轉換到 Splunk Enterprise Security,以便能夠利用資產和身分識別管理器的功能,讓您的分析師和事件回應人員獲得高效率工作所需的資訊。您想學習使用這個系統的最佳作法。


作法
Splunk Enterprise Security 使用一個資產和身分識別管理系統來將資產 (asset) 和身分識別 (identity) 資訊與事件進行關聯,以提供相關內容並補充資料。這個架構會從外部具權威性和可靠性的平台取得資料來填入查閱表 (lookups),而 Splunk Enterprise Security 在搜尋時會將查閱表與您的資料集進行關聯。


這個資產和身分識別管理架構專為解決大型客戶所面臨的問題所設計:

  • 地址或身分識別空間重疊的 CIM 區域
  • 轉移到 KVStore 而非查閱表
  • 重置功能
  • 支援搜尋頭叢集

在 Splunk Enterprise Security 中,您可以如何擷取資產和身分識別資料?以下是最常見的方法:

上述表格並不詳盡。只是提供了在該領域中最常見的方法。


選擇好作為主要資料集的資料來源後,許多組織還會設定第二個資料集來當成輔助,以進一步強化資產和/或身分識別能力。找到兩個資料集之間的共同欄位

  •  對於資產來說,可能是主機名稱 (hostname)。
  • 對於身分識別來說,可能是電子郵件地址。

然後,在 Splunk Enterprise Security 的資產和身分識別管理器中將它們合併。

資產和身分識別的目的是只填入對 SOC 分析師有用的資訊,用於協助特定的使用案例。請記住,您在表格中放入的資料越多,包含資訊的搜尋負載就越大。較大的負載可能會影響搜尋效能。為了限制搜尋範圍並保持效能,最常填入的實體屬性為:

  • 資產。IP、主機名稱、完整網域名稱 (FQDN)、優先性、類別、負責人、業務部門
  • 身分識別。身分識別、名字、姓氏、電子郵件、優先性、類別、業務部門、管理者、電話

其中大多數屬性都無須解釋,但我們將重點放在兩個最重要的屬性:

  • 優先性。優先性和影響程度有關。請記住,您可以參考系統記錄來協助進行評估。例如您可能會考量使用者是否是網域系統管理員部門,或系統是否屬於高級應用程式群組等。還有一些其他問題需要考慮:
    • 如果該帳戶或端點受到威脅,對貴組織和業務的影響有多大?
    • 貴公司每天可能會損失多少錢?
    • 這個實體對企業 IP、客戶資訊或其他受保護的資料有哪些存取權限?
    • 哪些狀況對客戶只會造成輕微的可用性損失,哪些會導致更大的問題甚至損害您的信譽?
  • 分類。分類是一種邏輯分類,使用管道符號 (|) 來將資產或身分識別分組,以便在特定使用案例中進行大規模的包含或排除。例如,您可以將所有管理的帳戶或 Windows 伺服器分組,以便快速瞭解有哪些對象存在最近公布的弱點。

下一步
在收集、填充和實作資產和身分識別之後,您就可以開始使用它們了。透過搜尋,您現在可以解答許多想要了解的問題。例如:

  • 想要檢視與 Windows 事件有關但只有 SID 的使用者名稱嗎?
  • 忘記哪些服務帳戶不符合標準命名規範嗎?
  • 總是想知道 Cisco ASA 事件中的來源 IP 主機名稱是什麼嗎?
  • 能在 DNS 查詢日誌中查看網段名稱嗎?

需要更多幫助嗎?我們推薦以下資源:


在 Splunk Lantern 上由使用者和社群產生的資訊、內容、資料、文字、照片、圖片、影片、文件和其他材料,均是按照 Splunk 網站使用條款中的條款和條件提供的社群內容,不應暗示 Splunk 對任何社群內容進行擔保、推薦、認可或核准,並且 Splunk 不對這些內容的可用性或準確性負責。Splunk 明確聲明不承擔任何因您使用 Splunk Lantern 上提供的任何資訊而導致的責任和任何行為

 

作者為 Anthony Giallombardo
• BlueVoyant 子公司 Concanon 的網路安全服務技術總監

 

返回上一頁