Splunk App
스플렁크는 앱스토어처럼 스플렁크에서 사용할 수 있는 앱들을 배포하고 다운로드할 수 있는 사이트 Splunkbase가 있다.
유용한 앱들도 많고 로그를 수집하기 쉽게 API 키값만으로 가져오거나 수집하는 로그의 필드값을 Splunk에 맞게 수정해주는가하면 수집한 로그를 활용할 수 있는 대시보드를 제공한다.
대시보드들이 모두 유용한 것은 아니지만 라이브러리의 형태로 사용하기 좋은 앱이 상당 수 있어 이에 관련된 앱들을 정리했다.
Splunk Enterprise Security
스플렁크 사에서 만든 유료 라이선스 서비스로 여러 사건들에 대해 위험도를 산정 또는 조직이 커스텀하여 사용할 수 있다. 사실 관련된 정책 없이 무료로 제공해줄법도 한데 따로 서비스로 만들어 판매하고 있다는 점이 아쉽다. 이를 비슷하게 만드는 방식은 ‘보고서’기능을 활용하면 되는데 이는 이후 다른 챕터에서 언급하겠다.
SA-cim_vladiator
CIM(Common Information Model)에 알맞은 필드가 추출됐는지, 필수 필드가 추출되지는 않았는지를 검증할 수 있는 애드온이다.
URL Toolbox
일반적으로 URL은 다음 형태로 표현된다.
scheme://[user:password@]domain:port/path?query_string#fragment_id
Plain Text
복사
이를 하나씩 정규식으로 추출하는 것은 상당히 귀찮은 일이고 이를 위 앱으로 쉽게 매크로 함수 형태로 해결 가능하다.
•
ut_parse_simple(url)
•
ut_parse(url, list) or ut_parse_extended(url, list)
•
ut_shannon(word)
•
ut_countset(word, set)
•
ut_suites(word, sets)
•
ut_meaning(word)
•
ut_bayesian(word)
•
ut_levenshtein(word1, word2)
관련된 설명은 실제 설치 후 $SPLUNK_HOME/etc/apps/utbox/appserver/static/documentation.pdf 를 참조하거나 다음 글을 참조하면 좋다.
Crypto and Encoding Add-On
PowerShell 명령어나 URL에 Base64 인코딩 명령어를 자주 마주할 수 있는데 모든 값을 CyberChef와 같은 디코딩 툴에 돌리는 것은 상당히 비효율적이다.
검색 시 암호화/복호화, 암호화/복호화, 인코딩/디코딩, 해싱 등을 제공하는 애드온으로 위협헌팅에 있어서는 필수적인 애드온이라 할 수 있다.
cipher command syntax:
cipher mode=<d|e> algorithm=<rc4|rot13|rot47|xor> key=<key> \<field-list>
SQL
복사
crypt command syntax:
crypt mode=<d|e> algorithm=<rsa|aes-cbc|aes-ofb> key=<key_name> \<field-list>
SQL
복사
encode command syntax:
encode mode=<to|from> encoding=<base32|base58|base62|base64|base85|binary|decimal|hex|octal> \<field-list>
SQL
복사
hash command syntax:
hash algorithm=<md5|sha1|sha224|sha256|sha384|sha512|sha3_224|sha3_256|sha3_384|sha3_512|blake2b|blake2s> [salt=\<salt_name>] \<field-list>
SQL
복사
Examples(Toggle):
Splunk App for Lookup File Editing
룩업은 스플렁크에서 화이트리스트 및 블랙리스트, 자산 등을 정리하는데 있어 필수적인 기능이다.
Splunk사에서 공식으로 지원하는 GUI 앱이다.
ZenBOT-Manzoni-LookupEntryEditor
기본적으로 Splunk사에서 공식적으로 지원하는 룩업앱이 있다.
그러나 공식 앱을 사용해보면 단 5분만에 그냥 내가 Export해 엑셀로 수정하고 Import하고 말지 싶을 정도로 데이터를 추가 및 수정하는데 있어 극악의 효율을 보여준다.
ZenBOT 앱은 이런 불편한 점을 그나마 커버할 수 있는 앱으로 조금씩 수정을 희망할 때는 이 앱이 훨씬 간편하다. 특히 새로운 자산을 하나씩 식별한다든가, 새로운 블랙리스트를 하나씩 추가하고자할 때 이 앱에 있는 대시보드 형식을 각 앱에 추가한다면 효율을 높일 수 있다.
PSTree for Splunk
Sysmon 프로세스 생성 이벤트에서 pstree를 재구성하는 명령어를 제공한다.
Simple Sysmon Usage
index=sysmon EventCode=1 host=victim_machine
| fields *
| pstree child=Image parent=ParentImage
| table tree
Plain Text
복사
Pretty Sysmon Usage
index=sysmon EventCode=1 host=victim_machine
| rex field=ParentImage "\x5c(?<ParentName>[^\x5c]+)$"
| rex field=Image "\x5c(?<ProcessName>[^\x5c]+)$"
| eval parent = ParentName." (".ParentProcessId.")"
| eval child = ProcessName." (".ProcessId.")"
| eval detail=strftime(_time,"%Y-%m-%d %H:%M:%S")." ".CommandLine
| pstree child=child parent=parent detail=detail spaces=50
| table tree
Plain Text
복사
Searching for tree with specific process
index=sysmon EventCode=1 host=victim_machine
| fields *
| pstree child=Image parent=ParentImage
| search tree=*<process name>*
| table tree
Plain Text
복사
Use legacy recursive method (version 2.X+ only)
index=sysmon EventCode=1 host=victim_machine
| fields *
| pstree child=Image parent=ParentImage method="r"
| table tree
Plain Text
복사
이외 사용해본 앱
Corelight App For Splunk
Zeek 및 Corelight Sensor를 기반으로한 Alert 제공 코어라이트 사 공식 앱
Zeek App for Hunting
Zeek 로그를 기반으로 가능한 위협헌팅 대시보드를 다수 만든 앱, 상당히 좋은 쿼리문들이 많아 따로 뽑아 정리했다.
Splunk Add-on for Sysmon
Sysmon 윈도우 이벤트 로그에서 CIM 데이터 모델에 대한 이벤트를 매핑해준다. 스플렁크 사에서 공식으로 제작한 앱이다.
Sysmon App for Splunk
Sysmon 로그를 기반으로 가능한 위협헌팅 대시보드를 다수 만든 앱, 앞 파트는 기본적인 내용 위주이나 뒤 보고서 부분에 Sysmon에서 탐지 가능한 위협들에 대해 40여가지 보고서를 만든 부분이 인상적이다.
Suricata app for splunk
Suricata fast.log에 대한 필드 추출과 Suricata ssh.json 로그에 대한 별도의 필드 추출이 포함돼있다. 이외 대시보드에서는 크게 참조할만한 부분은 없었다.
Splunk App for Unix and Linux
Unix 및 Linux 시스템의 가용성을 한 눈에 보기 좋게 제공해주는 앱이다.
Palo Alto Networks App for Splunk (XDR)
팔로알토사의 Cortex XDR이나 방화벽을 사용할 경우 Splunk에서 각 결과를 살펴볼 수 있고, 링크를 클릭 시 Incident별로 각 장비 세부로그로 바로 이동 가능하도록 구성해 하나의 체계에서 모든 로그를 본다는데 의의를 둘 수 있다.
