iT邦幫忙

2023 iThome 鐵人賽

DAY 27
0

說明

當發現一些資安事件跡象時,透過威脅狩獵的方式用一些關聯關係方式,追查途徑,找出入侵點及是否有潛在受害主機。

作法

HELK

用一些工具方便我們去追查事件,這邊用HELK示範
https://github.com/Cyb3rWard0g/HELK

照著手冊安裝HELK
https://thehelk.com/installation.html

剛開始狩獵時,可以先用一些儀表板去看有無特別的地方,可以先參考別人做的,再逐步轉成自己想要的儀表板
https://ithelp.ithome.com.tw/upload/images/20231011/20077752ROTmGpYDZN.png

這邊可以看到有常見駭客工具mimikatz
https://ithelp.ithome.com.tw/upload/images/20231011/20077752goSchlmUmZ.png

APT29

我們用作者錄下模擬APT29(MITRE ATT&CK Evaluations評測)的紀錄練習,已經知道做了那些攻擊行為,我們從Log反推怎麼調查
參考這篇文章 https://github.com/OTRF/detection-hackathon-apt29/tree/master/SIEMs/HELK

檢查資料匯入成功(需要一段時間約半小時)
https://ithelp.ithome.com.tw/upload/images/20231012/20077752mBwwj9eagu.png

資料集要選對,時間軸拉長一點
https://ithelp.ithome.com.tw/upload/images/20231012/20077752Hdantgxyso.png

這Excel為作者模擬操作的步驟及指令
Online: https://1drv.ms/x/s!Al3n8YlNIUPUbx1TH8bkLU5UWk0?e=LeA51U
https://ithelp.ithome.com.tw/upload/images/20231012/20077752etCKpLbXay.png

Excel 2.A使用Powershell "Get-ChildItem"列舉資料[T1083 檔案和目錄發現]
https://ithelp.ithome.com.tw/upload/images/20231012/20077752HVqJSd7VYx.png

結論

利用一些工具,用圖形化、關聯圖,AI分析等方式,輔助分析人員做威脅狩獵,減少人力並加速調查處理

參考

What the Helk? Enabling Graph Analytics for Threat Hunting
https://www.youtube.com/watch?v=eiWYweKArQ4
Threat Hunting with Elastic Stack
https://www.youtube.com/playlist?list=PLeLcvrwLe184BoWZhv6Cf2kbi-bKBeDBI
ATT&CK实战:Elastic Security初体验&APT29对手模拟
https://www.secrss.com/articles/29598

https://open-source-security-software.net/project/HELK
https://securitydatasets.com/consume/helk.html
https://thehelk.com/architecture/elasticsearch.html
https://github.com/NextronSystems/APTSimulator


上一篇
26. 實作-EDR端點檢測與回應
下一篇
28. SOC,EDR,MDR,XDR,SIEM
系列文
珍惜生命,遠離資安 - 避免不良的資安作法,專注重要事項33
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言