這篇文章會分享 Elastic Endgame 這個終端安全產品的體驗心得。

端點防護產品簡介

像前幾篇文章中介紹的，Elastic Beats 其實蒐集了各式各樣的資料，涵蓋網路封包、Log、指標、Audit 資訊等等安全性導向 (Security-Oriented) 的資料，終端安全防護自然而然就成為 Elastic 其中一個產品線，2019 Elastic 更宣布買下了終端安全的資安業者 Endgame，宣示了往端點 (Agent-Based) 安全應用發展的決心。

那 Elastic 可以協助我們解決或回答哪些問題?

• 事件或攻擊發生的先後順序?
• 資安事件發生時產生了哪些檔案或是流量?
• 攻擊已經結束了嗎? 還是還在持續?

Endgame 簡介

Endgame 本來就是一家提供端點安全服務解決方案的產品，搭配分析 Elastic Stack SIEM 中統一格式的 ECS (Elastic Common Schema) 把原來 Elastic Stack 的功能可以說是完全提升了一個層次，強化了端點安全的預防、偵測、回應 (EPP + EDR) 功能，此外也開發了一些厲害的功能，這次實際上用起來覺得蠻神奇的。

• 提供 EQL(Event Query Language) 支援: 事件版本的 SQL 的語言
  • 能夠更方便的找出有相依性的相關資訊
• Artemis: 可以看成是資安版本的 Siri 或是 Google assistant
  • 透過直觀自然的指令像是 Find the process wmic.exe 就可以找到相關資料
  • 透過 Chatbot + 人工智慧解決傳統搜尋介面較比較不友善的問題

透過 Chatbot + 人工智慧解決傳統搜尋介面較比較不友善的問題

EQL

EQL 可以執行簡單的條件判斷和範圍指定

• process where sha256=="551d62be381a429bb594c263fc01e8cc9f80bda97ac3787244ef16e3b0c05589"
• any where timestamp_utc >= "2018-04-01 12:00:0Z" and timestamp_utc <= "2018-04-01 12:05:0Z"

也可以將條件組合成複雜的指令

network where
event_subtype_full == "ipv4_connection_attempt_event" and
process_name == "svchost.exe" and
destination_port == 1337 and
(destination_address == "192.168.*" or destination_address == "172.16.*")
| unique destination_address destination_port

使用 Endgame

透過介面建立並下載 Senser Profile

透過下面的指令，使用剛才建立並下載的 Profile 配置我們的 Sensor:

• SensorWindowsInstaller-<profile_name>.exe -c SensorWindowsInstaller-<profile_name>..cfg -k <api_key> -d false -l install.log
  • <profile_name>: 就是剛才建立的名稱
  • <api_key> 在建立後產生的 API key

透過剛剛下載的 Profile 配置並啟動 Senser 後會出現在列表

打開偽裝的 IE，會發現開啟 CMD 後跑了很多指令

從 Alert 中查看影響路徑與範圍

這時候就要設定遇到 Malware 的反應機制，設定阻擋並跳通知

再打開偽裝的 IE、會發現已阻擋

從新的 Alert 可以發現影響路徑與範圍變小

Endgame 體驗心得

Endgame 開發的是端點保護平台，但現在的資安威脅不再只能用單純的 IOCs (Indicators of Compromise) 來描述，所以才會有像 MITRE 提出 ATT&CK 這樣的框架來協助解構複雜的威脅。

對買下 Endgame 的 Elastic 來說:

• Elastic Beats 提供 Security-Oriented 的資料
• 深度整合原來既有的 SIEM 上
• 數據與人工智慧的整合

兩個平台的結合可以說是相輔相成如虎添翼，完整的紀錄加上檢索引擎，相信在往後的檢討分析或是針對資安系統的 PDCA 都會有蠻大的幫助，當然完整的生態系可以說是優點也可以說是缺點，缺點大概就是用下去就會因為很方便而很難轉換。