入門 PEAK Threat Hunting @SECCON

© 2024 SPLUNK INC. SECCON 24 入門 PEAK Threat Hunting
Splunk Services Japan G.K Partner & Solutions Manager 横田　聡 CISSP GMON 2025年3月1日

Forward- looking statements © 2024 SPLUNK LLC This presentation may
contain forward-looking statements that are subject to the safe harbors created under the Securities Act of 1933, as amended, and the Securities Exchange Act of 1934, as amended. All statements other than statements of historical facts are statements that could be deemed forward-looking statements. These statements are based on current expectations, estimates, forecasts, and projections about the industries in which we operate and the beliefs and assumptions of our management based on the information currently available to us. Words such as “expects,” “anticipates,” “targets,” “goals,” “projects,” “intends,” “plans,” “believes,” “momentum,” “seeks,” “estimates,” “continues,” “endeavors,” “strives,” “may,” variations of such words, and similar expressions are intended to identify such forward-looking statements. In addition, any statements that refer to (1) our goals, commitments, and programs; (2) our business plans, initiatives, and objectives; and (3) our assumptions and expectations, including our expectations regarding our financial performance, products, technology, strategy, customers, markets, acquisitions and investments are forward-looking statements. These forward-looking statements are not guarantees of future performance and involve significant risks, uncertainties and other factors that may cause our actual results, performance or achievements to be materially different from results, performance or achievements expressed or implied by the forward-looking statements contained in this presentation. Readers are cautioned that these forward-looking statements are only predictions and are subject to risks, uncertainties, and assumptions that are difficult to predict, including those identified in the “Risk Factors” section of Cisco’s most recent report on Form 10-Q filed on February 20, 2024 and its most recent report on Form 10-K filed on September 7, 2023, as well as the “Risk Factors” section of Splunk’s most recent report on Form 10-Q filed with the SEC on November 28, 2023. The forward-looking statements made in this presentation are made as of the time and date of this presentation. If reviewed after the initial presentation, even if made available by Cisco or Splunk, on Cisco or Splunk’s website or otherwise, it may not contain current or accurate information. Cisco and Splunk undertake no obligation to revise or update any forward-looking statements for any reason, except as required by law. In addition, any information about new products, features, functionality or our roadmap outlines our general product direction and is subject to change at any time without notice. It is for informational purposes only and shall not be incorporated into any contract or other commitment or be relied upon in making a purchasing decision. We undertake no commitment, promise or obligation either to develop the features or functionalities described, in beta or in preview (used interchangeably), or to include any such feature or functionality in a future release. The development, release, and timing of any features or functionality described for our products remains at our sole discretion. Splunk, Splunk> and Turn Data Into Doing are trademarks and registered trademarks of Splunk LLC in the United States and other countries. All other brand names, product names or trademarks belong to their respective owners. © 2024 Splunk LLC. All rights reserved.

© 2024 SPLUNK LLC Satoshi Yokota - Splunk SE歴は7年ちょっと -
好きなログは sysmon, Lanscope Cat - 好きなSPLは | eval - odorusatoshi - Qiita

© 2024 SPLUNK LLC Splunk Oct, 2003 Splunk Inc.設立 Apr,
2012 NASDAQ 上場 Mar, 2024 CiscoによるSplunk の買収完了 Feb, 2012 日本法人設立 Dec, 2024 Splunk Cloud Platform ISMAPに登録完了 Splunk Enterprise Security とTalosの統合 Splunk SIEMとCisco XDRとの相互補完 Apr, 2022 Gary Steele Splunk, CEO Splunkオブザーバビリティに AppDynamicsを統合 Ciscoと共にイノベーションを加速 May, 2024 Gary Steele 　　　　 Cisco, President Go-to-Market Nov, 2024 Splunk Cloud Platform on Microsoft Azure (Japan) 日本市場への継続投資 • 日本語テクニカルサポートの拡充 • Edge Hub 国内販売開始 (2024/6) • AI Assistant 日本語対応 • Splunk on Azure サービス開始 (2024/11) • ISMAP登録完了 (2024/12) © 2025 SPLUNK LLC 2024年 Spelunking: 洞窟探検 Splunking: マシンデータの探索

© 2024 SPLUNK LLC © 2024 SPLUNK LLC アジェンダ •
Threat Landscape ◦ LoTL (Living off the land: 環境寄生型攻撃) • PEAK Threat Hunting • Appendix: セキュリティエンジニア向け無償コンテンツの紹介

© 2024 SPLUNK INC. 7 2024年はLoTL対策に関するお問合せが増えた年 2024/6/26 JPCERT/CC Volt Typhoonの攻撃キャンペーンにどう備
えていくべきなのか～将来の攻撃に備えるThreat Huntingのアプローチについて考える～ 2024/8/21 CISA Best Practices for Event Logging and Threat Detection NISC 豪州主導の国際文書「イベントログと脅威検知のためのベストプラクティス」への共同署名について 2024/2/7 CISA Identifying and Mitigating Living Off the Land Techniques 以降、お客様から LoTL対応に関するお問合せが増えています。リファレンス SOCアナリスト向け Threat Huntingの方法論の詳細 SIEM管理者向けイベントログ管理のベストプラクティス

© 2022 SPLUNK INC. © 2024 SPLUNK INC. 日本における Threat
Huntingの重要性の高まり Living Off The Land（環境寄生型、現地調達型）攻撃を捉えるチャレンジインディケータ情報依存からの脱却の必要性（前略）一般的なAPTでは攻撃キャンペーン期間内においてC2サーバーやマルウェアを使いまわすため、これらの情報を共有することで、未認知の被害をあぶり出すことや被害拡大防止を行うことができます。このような対抗策は「IoC情報ベースのアプローチ」と言えるかと思います。 Volt Typhoonは、グループ固有のマルウェアをほとんど使わないなどの LoTL戦術の徹底により、被害現場には IoCとなる情報をほとんど残しません。そして、Volt Typhoonが単なるLoTL戦術を取る他のアクターと違う点として、1回あたりの侵害期間が短く[2]、侵害範囲が限定的であることから、被害現場に残るアーティファクトの量がそもそも圧倒的に少ないことが挙げられます。アーティファクトが少なければ、IoC情報を作出できる機会／量も大きく減ります。（中略）Threat Huntingの定義もさまざまで、この用語は理論の紹介から特定製品のPRまで、幅広い文脈で使われています。基本的にはアノマリ（ Anomalies）を探しだすことだと考えられ、不審なプロセスの存在といった技術的アノマリや、不審な時間帯でのアカウントの挙動といった文脈的アノマリがあります。こうした、ベースラインから逸脱したアノマリを探しだすことがThreat Huntingの基本的な考え方です。そのためには、自組織のシステム／ネットワーク運用における「ベースライン」の把握が必要になります。JPCERT/CCでも過去にActiveDirectoryのログ分析を紹介するコンテンツを公開[5]してきましたが、Active Directoryのログが一定期間保存されていなかったり、正規のアカウントが整理されていなかったりすれば、ベースラインを把握できず、アノマリを検出しようがありません。 Volt Typhoonの攻撃キャンペーンにどう備えていくべきなのか～将来の攻撃に備えるThreat Huntingのアプローチについて考える～ - JPCERT/CC Eyes

© 2022 SPLUNK INC. EDRだけでは検出が困難な理由参照ガイドライン：https://www.cisa.gov/sites/default/files/2024-02/Joint-Guidance-Identifying-and-Mitigating-LOTL_V3508c.pdf LoLBins (LoTLに利用される正規ツールの総称 )
→ システム担当者が使う正規ツールのためロギングのみでアラート発報しない※ ※適切にチューニングをしない場合大量のアラートノイズになるため、一般的にロギングのみで監視に活用されていない EDR マルウェア →IOC(既知のマルウェアのHash値, C2情報, 不審なCommandLineなど)で一致した場合、アラート発報 ⋯ ストレージコストの課題もあり、ログ保持期間が限定的で必要な時には削除されている以下、Unix系システムで使われる LOLBinsの例

© 2022 SPLUNK INC. ランサムウェア攻撃にも LoTLは利用されている VPNに対する不正アクセスを初期侵入の起点とする（事例：コスタリカ政府を狙ったConti Ransomware）内部サーバ FireWall
Active Directory / DNS 攻撃者 PC DLP EDR 内部PCセグメント DHCP サーバ内部向けDMZ Web Proxy SASE SDP FWaaS SWG IDaaS DNS VPN 社外/在宅 syson powershell PC DLP EDR syson powershell 重要サーバ syson 攻撃インフラメールアンチウイルスアンチウイルスアンチウイルス NetFlow ⑦Rcloneを経由したデータ流出 Windows Security ②VPN情報を使い不正ログイン ①BotNetのログからターゲットのVPNのクレデンシャルを取得 ③CobaltSrikeBeaconをダウロード＆設置 ④PsExecを用いた横展開 ⑤mimikatzとDCSyncを使ってクレデンシャルのダンプ In−memory型Beaconを使用しEDRをBypass ⑥AteraRemote Management Tool (RMM)を設置（永続的なアクセスが可能に）ポイント OS標準ツール（PsExec）だけではなく、リモート管理ソフト（AlteraRemote Management Tool）やオープンソースのファイル転送ツール（Rclone）などの一見、正常な業務にも使われそうなソフトウェアも合わせて利用されるためEDRだけではkill chain全体の検知が難しい

© 2022 SPLUNK INC. © 2024 SPLUNK INC. CISAが中心となり発行した「Living
Off The Land（LOTL）」対策ガイドライン参照ガイドライン：https://www.cisa.gov/sites/default/ﬁles/2024-02/Joint-Guidance-Identifying-and-Mitigating-LOTL_V3508c.pdf 「Summary」の「Detection Best Practices」の章では、LOTL攻撃に対する効果的な監視策を提言されています。 1. 詳細ログの集中管理 2. 振る舞いベースラインを確立 3. 定期的チェックの実践 4. アラートノイズを減らす 5. UEBAの活用

© 2024 SPLUNK LLC PEAK Threat Hunting PAEK Hunting ガイドのダウンロードリンク：
PEAK脅威ハンティングフレームワーク | Splunk

© 2024 SPLUNK INC. Threat Hunting is any manual or
machine-assisted process for ﬁnding security incidents that your automated detection systems missed. 脅威ハンティングとは、自動検知システムが見逃したセキュリティ・インシデントを発見するための、手動または機械支援によるプロセスです。 The PEAK Threat Hunting Framework Page 4 重要なのは、目的のイべントを検出、選別するためにコンピューター、自動化技術、機械学習技法を利用することが多いものの、ハンティングは基本的に人間主導で行う点です。なぜなら、人間の好奇心、想像力、そして、悪質なアクティビティのパターン、特に、過去に見たことのないパターンを推測する能力は、今日のテクノロジーの能力をはるかに凌ぐからです。

© 2024 SPLUNK INC. © 2024 SPLUNK INC. 古くて新しい？ Threat
Hunting 2015年頃からSqrrl脅威ハンティングとTaHiTIの脅威ハンティング手法がお手本に

© 2024 SPLUNK INC. © 2024 SPLUNK INC. 仮説に基づいた脅威ハンティング仮説はより具体的かつ検証可能なものをセットするのがポイント
攻撃者はPowershellを使う際にBase64 Encodeしたコマンドラインを使って隠蔽活動をするはずだ Powershell引数に特定の文字列が使われるものをHuntingしてみる

© 2024 SPLUNK INC. © 2024 SPLUNK INC. ベースライン脅威ハンティング正常な挙動のベースラインを設定して、逸脱する挙動を見張る
SMBトラフィックは社内で常に利用されているが、通常時のトラフィックをはるかに逸脱するボリューム/業務時間外の利用を統計的外れ値で見てみる新しいデータソースが監視対象になったとき既存取得データソースも定期的にベースラインの異常が無いか確認

© 2024 SPLUNK INC. © 2024 SPLUNK INC. モデル支援 (M-ATH)脅威ハンティング
明確なトピック（「辞書ベースのDGAドメインを特定したい」）はあるが、具体的にどうすればいいのかわからない（暗黙の複雑性）。M-ATHの主な利点は、違いを見分ける方法を見つけ出すという大変な作業をコンピュータに任せることができるということです。 OOTBのソリューションとしてはSplunk UBA

© 2024 SPLUNK LLC 脅威ハンティングの主要メトリクス例 5 Techniques H unted
M ap hunted behaviors to ATT& CK and/or K ill Chain. W here are you hunting? W here should you hunt next? 4 Vulnerabilities & M isconfi gurations D irect corrections to system s and services as a result of hunt fi ndings 3 G aps Identifi ed / G aps Closed V isibility, tools, access, etc. that you didn’t have, and ones that you later acquired Incidents O pened Count of incidents created during hunts, but also as a result of detections created from hunting 2 1 D etections Created / U pdated N um ber of new or im proved detections, by type, as a result of hunting 作成または更新した検出数例：3月は10件のTHロジックを作成既存THロジックを2/30件修正ハンティング中またはハンティングの結果として見つかったインシデントの数例：3月はTH業務中に、EDRバイパスしたLateral Movementを1件確認特定された不備の件数と解消された件数例：Windows Securityイベントの監査ポリシー設定不備によりEentID:4688が記録されていない特定された脆弱性/設定ミスの件数と解消された件数例：クラウドサービスのアクセス権限不備を2件報告その後1件は修正済みの連絡あり ATT&CK、キルチェーンなどのフレームワークに照会例：Lateral Movementフェーズの9つのテクニックのTHを 3件実施

© 2024 SPLUNK INC. 参考: Security ContentsにおけるLoTL対応 | tstats `security_content_summariesonly`
count min(_time) as firstTime max(_time) as lastTime from datamodel=Endpoint.Processes where `process_rundll32` Processes.process=*comsvcs.dll* Processes.process=*MiniDump* by Processes.user Processes.parent_process_name Processes.process_name Processes.original_file_name Processes.process Processes.dest | `drop_dm_object_name(Processes)` | `security_content_ctime(firstTime)` | `security_content_ctime(lastTime)` | `dump_lsass_via_comsvcs_dll_filter` https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoo n-targets-us-critical-infrastructure-with-living-off-the-land-techniques/ 検知ルールの詳細例「Dump LSASS via comsvcs DLL」の場合 LSASSをDumpして認証につかわれる情報を抽出する動き https://research.splunk.com/endpoint/8943b567-f14d-4ee8-a0bb-2121d4ce3184/

© 2022 SPLUNK INC. セキュリティ担当者に贈る 3つのギフト Splunkはセキュリティ運用担当者を応援します緊急情報の提供攻撃シミュレーション
キャプチャーザフラッグ（CTF） Splunk Threat Research Team

© 2022 SPLUNK INC. SURGeについて Splunk Enterprise 次世代セキュリティ分析基盤 Splunk Enterprise
Security ES相関ルール MITERATT&CK対応緊急脅威速報 SURGeアラート SURGeは、緊急セキュリティ脅威情報を発信するSplunkの新しいサービス(無料) メール登録をしておくと、SplunkのSPLでどうやってThreat huntingを行うか指針をサンプルSPLつきで紹介 NEW 例：Supply Chain AttackのSPLホワイトペーパー

© 2022 SPLUNK INC. Apache Log4j 脆弱性に関する発信内容影響調査の方法はMail/Blogで緊急発信し、監視のための相関ルールを後日リリース ①登録メールアドレスに通知が届く ②Splunk
Blogにて影響調査のための手法を解説 ③相関ルールパッケージを配信 2021/12/15 2021/12/13

© 2022 SPLUNK INC. © 2024 SPLUNK INC. Threat Huntingのガイドラインを発行
PAEK Hunting ガイドのダウンロードリンク： PEAK脅威ハンティングフレームワーク | Splunk Join the Community Slack #peak-threat-hunting

© 2022 SPLUNK INC. Attack Rangeは無償のコミュニティツール MITRE techniqueの攻撃シミュレーションを行うプライベートサンドボックス環境相関ルールの有効性の検証を行う際に、MITER Techniqueベースの疑似攻撃を仕掛けることで、実際にどのようにログが
記録されて検知されるのかを確認することができます。

© 2022 SPLUNK INC. Attack Rangeの利用イメージ MITRE techniqueの攻撃シミュレーションを行うプライベートサンドボックス環境 2. Splunk
Security Contentsページにて試したいtechnique IDと相関ルール名、サーチ文を確認 # python attack_range.py simulate -st T1003.001 -t ar-win-dc-default-username-33048 1. 指定のMITRE Technique IDの疑似攻撃をシミュレーション環境のサーバに対して実行

© 2022 SPLUNK INC. Boss of the SOC (BOTS)とは  
現場の方々のスキル習得・熟練度の確認のために、現実に近い環境で、セキュリティハンティングを体験いただけます。当ワークショップはキャプチャ・ザ・フラッグ（CTF）形式を採用しており、複数チームで対抗するコンペティションとなります。顕著な成績をあげられたチームには、Splunkより豪華景品を用意しております。 SOCのセキュリティアナリストの方々を対象に、Splunkがご提供するワークショップです。 Activity Duration 開会挨拶、参加者紹介 30 minutes BOTS Kickoff、ワークショップ内容のご説明 30 minutes BOTSワークショップ 4.5 hours クロージング、表彰、Q&A 1 hour Total 6.5 hours

© 2022 SPLUNK INC. 問題のシナリオはテクノロジーの変化と共に毎年進化しています   Powershell Sysmon Ver1.0-2.0 Ver3.0
Ver4.0-4.1 Ver5.0 36 Ver6.0 Scenario  1.Insider Threat(内部犯行) 2.Webサイト攻撃 3.ランサムウェア感染(Mac) 4.標的型攻撃 5.Fraud(不正取引) Scenario 1.ES, UBA, phantomを使った調査 2.AWSインフラへの不正アクセス 3.標的型メール起点の侵害  Scenario 1.ES, UBA, phantomを使った調査 2.Red TeamのPenテスト調査 3.標的型攻撃 4.ICSシステムの侵害調査  Scenario 1.Kubernetesセキュリティ 2.標的型攻撃 3.AWSセキュリティ 4.RWIセキュリティ 5.GCPセキュリティ Scenario 1.不正行為とインサイダー脅威  2.高度な持続的脅威 (APT)  3.マルチクラウド  4.Enterprise Security 5.SOAR Scenario 1.インフラ統合 2.高度な持続的脅威 (APT)  3.Enterprise Security 4.SOAR 5.Eggs Ver7.0

© 2022 SPLUNK INC. 日本国内での開催実績 BOTSv1 in 2017 8月と11月の2回開催し、合計で50名以上の方にご参加いただきました。 BOTSv2
in 2018 Enterprise Securityを利用したVer2を開催し、総勢35名にご参加いただきました。 BOTSv3 in 2019 TUNNEL TOKYO にて、MEGA BOTS TOKYOを開催し総勢100名以上のお客様にご参加いただきました。 BOTSv4 & BOTSv2 in 2020 2020年は初のVirtualイベントを2回開催し、v2はSplunk初心者を対象とし103名が参加しました。またv4はSplunk Guruを対象としたもので参加者は106名でした。 BOTSv4.1 in 2021 コロナ禍2年目もVirtualイベントを開催し、100名近くのお客様にご参加いただきました。 BOTSv6 in 2022 コロナ禍3年目もVirtualイベントを開催し、100名以上のお客様にご参加いただきました。 BOTSv6 Revenge/Entry in 2023 初のリモート＆会場参加のハイブリットイベントを開催し、100名以上のお客様にご参加いただきました。 BOTSv7 in 2023 コロナ5類移行に伴い、YahooJapan様の会場を利用し、150名以上のお客様にご参加いただきました。 BOTSv8 in 2024 YahooJapan様の会場を利用し、170名以上のお客様にご参加いただきました。

© 2022 SPLUNK INC. BOTS自己学習コンテンツ (English) Splunk環境も用意されているオンラインセルフ学習コンテンツ 1. 問題シナリオを選択 3.
問題を読んで回答入力 2. Splunk環境のアクセス情報を確認

入門 PEAK Threat Hunting @SECCON

入門 PEAK Threat Hunting @SECCON

More Decks by odorusatoshi

Other Decks in Technology

Featured

Transcript