• 架构设计splunk+ATT&CK+sysmon
  • splunk
• [[splunk支持ATTCK]]&CK矩阵的ThreatHunting插件
• [[sysmon支持ATT]]&CK的配置文件
  • 总结
• 参考资料

架构设计splunk+ATT&CK+sysmon

splunk

部署docker-splunk
Install

$ docker pull splunk/splunk:latest
$ docker pull splunk/universalforwarder:latest

Deploy 单机部署：

docker run -p 8000:8000 -e "SPLUNK_PASSWORD=<password>" \
             -e "SPLUNK_START_ARGS=--accept-license" \
             -it splunk/splunk:latest    

分布部署：

docker network create --driver bridge --attachable skynet #创建网桥
docker run --network skynet --name so1 --hostname so1 -p 8000:8000 \
              -e "SPLUNK_PASSWORD=<password>" \
              -e "SPLUNK_START_ARGS=--accept-license" \
              -it splunk/splunk:latest

问题 - 1.splunk官网注册问题，刚开始提示受美国贸易委员会出口管制原因不能提供注册服务
- 2.终端安装采集器并进行相关配置后，不能连接容器内的服务监听和接收端口 - 3.将容器中相关端口映射到宿主机后，终端采集器可以建立通信，但是server仍不能发现采集器（可能是网络转发的问题） - 4.切换各种许可证，除企业使用许可证以外都不能发现采集器（企业60天试用版官网没有找到license文件，只有下载通道）

[[splunk支持ATTCK]]&CK矩阵的ThreatHunting插件

1.插件通过在线安装需要splunk注册账号，首次尝试注册失败 2.手动安装可以，下载地址https://github.com/olafhartong/ThreatHunting，后在Splunkbase登录注册账号成功也可以下载

[[sysmon支持ATT]]&CK的配置文件

配置文件下载

总结

（1）spunk-docker+Threathunting+sysmon的实施方案暂告失败，问题点在splunk-docker和client-universalforwarder之间日志采集的问题。
（2）如使用splunk官网企业试用版可以尝试该方案，不过受限于60天+500MB的限制，不建议继续尝试。
（3）方案设计前期的准备工作还是不足，对相关软件使用先决条件判断不够如资源条件、许可证、版本区别与限制等

参考资料

1."ATT&CK"ized Splunk
2.手工打造基于ATT&CK矩阵的EDR系统
3.一个威胁猎人的检查清单
4.ZEEK
5.Surricata
6.RITA
7.Open Source Suricata rules
8.windows事件转发指南
9.Sysmon Security Event Processing in Real Time with KSQL and HELK
10.docker-splunk
11.Sysmon + NXlog构建简单的windows安全监控