Do\u015bwiadczenie z automatyzacj\u0105 zada\u0144 rozpocz\u0105\u0142em od nauki podstaw programowania tego j\u0119zyka oraz wyznaczenia sobie celu. W moim przypadku by\u0142o nim sprawdzenie wielu IOC (Indicator of Compromise) URL na stronie VirusTotal.com<\/a>. Na VT mo\u017cna znale\u017a\u0107 bardzo dobrze przygotowan\u0105 dokumentacj\u0119 do API (Application Programming Interface) pomagaj\u0105c\u0105 przy utworzeniu po\u0142\u0105czenia, autentykacji oraz wysy\u0142aniu i odbieraniu \u017c\u0105da\u0144. Niekiedy r\u00f3wnie\u017c \u2013 jak w tym przypadku \u2013 niemal ca\u0142kowite rozwi\u0105zanie podane jest w dokumentacji:<\/p>\n\n\n\n Wystarczy jedynie wyszuka\u0107 potrzebn\u0105 akcj\u0119, zmieni\u0107 j\u0119zyk z domy\u015blnego Shell na Python oraz wype\u0142ni\u0107 pola \u2013 jak w przyk\u0142adzie URL oraz x-apikey. Dokumentacja wspiera nas r\u00f3wnie\u017c m.in. poprzez wskazanie wymaganych bibliotek i informuj\u0105c, jak je zainstalowa\u0107 w naszym \u015brodowisku. <\/p>\n\n\n\n Do realizacji mojego celu wystarczy\u0142o skopiowa\u0107 kod programu i delikatnie go zmodyfikowa\u0107, by m\u00f3c przeskanowa\u0107 100 URL na raz, eliminuj\u0105c element r\u0119cznego klikania przez WebGui albo zmieniania parametru URL w kodzie programu.<\/p>\n\n\n\n Na szcz\u0119\u015bcie mia\u0142em do dyspozycji plik z IOC, wi\u0119c wystarczy\u0142o go zaimportowa\u0107 do programu i w p\u0119tli wykonywa\u0107 po\u0142\u0105czenia do serwisu, a wyniki zapisywa\u0107 do osobnego pliku. Odpowied\u017a z serwera, zawiera bardzo du\u017co informacji, jednak dla mnie najwa\u017cniejsze by\u0142y adresy URL, liczba pozytywnych wynik\u00f3w oraz suma wszystkich skan\u00f3w.<\/p>\n\n\n\n Dla przyk\u0142adu kod programu w Python:<\/p>\n\n\n\n Jak wida\u0107 na przyk\u0142adzie, prosta modyfikacja kodu pozwoli\u0142a zaoszcz\u0119dzi\u0107 par\u0119 godzin sprawdzania 100 adres\u00f3w URL w serwisie. Wiele obecnie wiod\u0105cych serwis\u00f3w posiada interface API w celu automatyzacji lub bez graficznego po\u0142\u0105czenia si\u0119 z nim i uzyskania takich samych danych lub nawet ich wi\u0119kszej ilo\u015bci.<\/p>\n\n\n\n Podobne rozwi\u0105zanie tematu oraz szersze wykorzystanie automatyzacji zada\u0144 daje np. Splunk SOAR (dawniej Phantom). Jest to bardzo dobre narz\u0119dzie z rodziny Splunk, kt\u00f3re idealnie wsp\u00f3\u0142pracuje z Splunk Enterprise Security i generowanymi tam notable evantami (incydentami o bardzo wysokiej wa\u017cno\u015bci).<\/p>\n\n\n\n Wszystkie ograniczenia Splunk ES<\/strong> da si\u0119 rozwi\u0105za\u0107 przy pomocy Splunk SOAR i jego Playbook\u00f3w oraz wynikaj\u0105cych z nich automatyzacji. A to, czego nie da si\u0119 wykona\u0107 za pomoc\u0105 dost\u0119pnych akcji z aplikacji, mo\u017cemy dowolnie zaprogramowa\u0107 przy u\u017cyciu j\u0119zyka Python w istniej\u0105cych blokach (co nie jest zalecane w dedykowanych w tym celu Custom Functions).<\/p>\n\n\n\n W dobrze skonfigurowanym \u015brodowisku Splunk SOAR z odpowiednimi aplikacjami oraz Playbookami mo\u017cna np.:<\/p>\n\n\n\n W przyk\u0142adzie ze skanowaniem 100 adres\u00f3w URL opisanym na pocz\u0105tku artyku\u0142u mo\u017cna r\u00f3wnie\u017c pos\u0142u\u017cy\u0107 si\u0119 Splunk SOAR.<\/p>\n\n\n\n Najlepiej w tym celu stworzy\u0107 nowego Playbooka. Wystarczy w\u00f3wczas doda\u0107 blok z aplikacj\u0105 Virustotal, w kt\u00f3rej wybieramy akcj\u0119 url reputation<\/em>, a w polu url wybieramy artifact.requestUrl<\/em>. Nast\u0119pnie zapisujemy Playbooka z dowoln\u0105 nazw\u0105, wybieramy, aby dzia\u0142a\u0142 na wszystkich label.<\/p>\n\n\n\n Kolejno przechodzimy np. do source -> events i tworzymy nowy container, do kt\u00f3rego w zak\u0142adce Files wrzucamy plik IOC.txt. Uruchamiamy przycisk action<\/em> i tam wybieramy akcj\u0119 extract ioc<\/em> z aplikacji Parser. W ten spos\u00f3b zostan\u0105 wyci\u0105gni\u0119te wszystkie adresy URL z pliku IOC.txt. Podajemy vaultId<\/em> wcze\u015bniej zapisanego pliku i uruchamiamy akcj\u0119. Utworzy to 100 artefakt\u00f3w, kt\u00f3re pos\u0142u\u017c\u0105 nam do wcze\u015bniej utworzonego Playbooka.<\/p>\n\n\n\n Nast\u0119pnie uruchamiamy nasz Playbook, a on wygeneruje seri\u0119 zapyta\u0144 do VirusTotal i dzi\u0119ki temu w prosty spos\u00f3b otrzymamy informacj\u0119 o reputacji ka\u017cdego adresu URL z pliku. Wynik z dzia\u0142ania aplikacji znajdziemy w zak\u0142adce Widgets na dole strony.<\/p>\n\n\n\n Jak mo\u017cna zauwa\u017cy\u0107, automatyzacja zada\u0144 z udzia\u0142em Splunk SOAR nie wymaga znajomo\u015bci programowania, a jedynie bazuje na prostych umiej\u0119tno\u015bciach w pos\u0142ugiwaniu si\u0119 t\u0105 aplikacj\u0105. Jednak nie ka\u017cdego wynik tej operacji mo\u017ce satysfakcjonowa\u0107.<\/p>\n\n\n\n Kolejnym krokiem powinno by\u0107 dostosowanie wynik\u00f3w do potrzeb<\/strong>, czyli np. wpisanie najwa\u017cniejszych informacji bezpo\u015brednio do artifactu<\/em>. W tym celu nale\u017cy u\u017cy\u0107 bloku Custom function i w nim, wykorzystuj\u0105c polecenia update_artifact,<\/em> zaktualizowa\u0107 artefakt o wynik positives i total dla ka\u017cdego z artefakt\u00f3w. Dodatkowo, mo\u017cna te\u017c zmieni\u0107 serverity z domy\u015blnego medium na low lub high w zale\u017cno\u015bci od liczby znalezionych positives przez VirusTotal. Dzi\u0119ki temu uzyskamy przejrzysty wgl\u0105d w artefakty zawieraj\u0105ce URL z wynikami, kt\u00f3re nas interesuj\u0105. Uzyskane dane mo\u017cemy te\u017c wyeksportowa\u0107 do pliku w formacie JSON i wykorzysta\u0107 je w innych systemach.<\/p>\n\n\n\n Podany Playbook jest jedynie przyk\u0142adem wykorzystuj\u0105cym aplikacj\u0119 VirusTotal, jednak nic nie stoi nam na przeszkodzie, by w prosty spos\u00f3b doda\u0107 do niego dodatkowe serwisy sprawdzaj\u0105ce reputacj\u0119 oraz logik\u0119, kt\u00f3ra ujednolica wyniki i podaje prosty scoring dla analityka.<\/p>\n\n\n\n W analizie incydent\u00f3w Cyberbezpiecze\u0144stwa na t\u0119 chwil\u0119 jest coraz mniej miejsca na manualn\u0105 analiz\u0119. Dzi\u0119ki wykorzystaniu automatyzacji w jak najwi\u0119kszej liczbie miejsc, mo\u017cemy pozwoli\u0107 sobie na uzyskanie wi\u0119kszej ilo\u015bci znormalizowanych wynik\u00f3w z wielu r\u00f3\u017cnych \u017ar\u00f3de\u0142. Pozwala nam to na przesuni\u0119cie dost\u0119pnych zasob\u00f3w ludzkich do bardziej wymagaj\u0105cych incydent\u00f3w bezpiecze\u0144stwa oraz na dodatkowe treningi wiedzy dla analityk\u00f3w.<\/p>\n\n\n\n ***<\/p>\n\n\n\n Je\u015bli interesuje Ci\u0119 obszar Cyberbezpiecze\u0144stwa, polecamy r\u00f3wnie\u017c inne artyku\u0142y naszych ekspert\u00f3w<\/a>. <\/p>\n\n\n![\"Dokumentacja](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2023\/03\/1-4-1024x639.png\")
<\/a>![\"fragment](\"https:\/\/sii.pl\/blog\/wp-content\/uploads\/2023\/03\/2-4.png\")
<\/a><\/figure><\/div>\n\n\n\nWykorzystanie Splunk SOAR<\/strong><\/h2>\n\n\n\n
Przyk\u0142adowe u\u017cycie Splunk SOAR<\/strong><\/h2>\n\n\n\n
Podsumowanie<\/strong><\/h2>\n\n\n\n