enterprise-security

# Splunk Enterprise Security > SIEM · Vendor: [[_splunk|Splunk]] > [!latam] Presença no Brasil e LATAM > O Splunk Enterprise Security tem presença consolidada em grandes SOCs brasileiros, especialmente no setor financeiro, telecomúnicações e energia. Bancos como **Itaú**, **Bradesco** e operadoras de telecomúnicações utilizam o Splunk como plataforma central de correlação. O modelo de precificação por volume de ingestão (GB/dia) é adaptado para contratos com empresas brasileiras via distribuidores locais. O **Risk-Based Alerting (RBA)** é amplamente adotado para reduzir fadiga de alertas em SOCs brasileiros com equipes enxutas. ## Visão Geral **Splunk Enterprise Security (ES)** é o SIEM (Security Information and Event Management) corporativo da [[_splunk|Splunk]], construído sobre a plataforma Splunk e amplamente considerado o padrão de fato em operações de segurança enterprise. O ES expande a plataforma base com um conjunto de capacidades específicamente projetadas para operações de SOC: correlação avançada, gestão de incidentes, inteligência de ameaças integrada e resposta adaptativa. **Capacidades centrais:** - **Risk-Based Alerting (RBA)** - Em vez de gerar alertas individuais para cada evento suspeito (gerando fadiga de alertas), o ES acumula pontuações de risco por entidade (usuário ou sistema). Um alerta de alta prioridade só é gerado quando o risco acumulado supera um limiar configurável, reduzindo drasticamente falsos positivos. - **Notable Events** - Framework centralizado de gestão de eventos notáveis, com fila de triagem, atribuição, prioridade e ciclo de vida (novo → em investigação → resolvido). - **Adaptive Response Actions** - Ações de resposta automatizadas diretamente do ES, como bloquear IP, isolar endpoint, adicionar hash à blocklist, ou disparar um playbook no [[soar|Splunk SOAR]]. - **Threat Intelligence Framework** - Importação e correlação automática de IoCs via STIX/TAXII, MISP, listas CSV e feeds customizados. Qualquer evento contendo um IoC catalogado é automaticamente marcado como suspeito. - **ESCU (Enterprise Security Content Updates)** - Content pack oficial com centenas de regras de detecção SPL, Analytic Stories e análises de ameaças, atualizado periodicamente e mapeado para MITRE ATT&CK. ## SPL - Splunk Processing Language O **SPL** é a linguagem de consulta proprietária do Splunk, projetada para análise de dados de log em escala. Para CTI e threat hunting, o SPL permite construir detecções sofisticadas combinando múltiplas fontes de telemetria. **Exemplo: Detectar PowerShell executando download de payload** ```spl index=windows source="WinEventLog:Microsoft-Windows-PowerShell/Operational" EventCode=4103 | rex field=Message "CommandInvocation\((?<command>[^)]+)\)" | where like(command, "%DownloadString%") OR like(command, "%WebClient%") OR like(command, "%Net.WebRequest%") OR like(command, "%BitsTransfer%") | stats count, values(command) AS commands, dc(Computer) AS hosts_affected by Computer, User | sort -count | where count > 2 ``` Esta query cobre [[t1059-001-powershell|T1059.001 - PowerShell]] e [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]], detectando padrões típicos de stagers de [[s0154-cobalt-strike]] e outros frameworks de C2. **Comandos-chave para detecções:** | Comando | Uso em detecções | |---------|-----------------| | `index`, `sourcetype` | Filtro de fonte de dados - base de toda query | | `rex` | Extração de campos via regex - parsear logs não estruturados | | `stats` / `eventstats` | Agregação - contagens, valores únicos, médias | | `eval` | Transformação e cálculo de campos derivados | | `tstats` | Consultas aceleradas sobre Data Models - base das regras ESCU | | `join` / `append` | Correlação de múltiplos datasets | | `inputlookup` | Consulta de threat intel em tabelas (IoC lookup) | ## Data Models e ESCU O **CIM (Common Information Model)** é o modelo de dados padronizado do Splunk que normaliza campos de diferentes sourcetypes em nomes consistentes. Por exemplo, independentemente de o log vir de um Windows Event Log, Syslog ou NGFW, o campo de endereço IP de destino é sempre `dest_ip` no CIM. As regras do ESCU utilizam `tstats` sobre Data Models CIM-compatíveis para performance máxima: - **Endpoint** - Processos, serviços, registro, filesystem (`Endpoint.Processes`, `Endpoint.Registry`) - **Network_Traffic** - Fluxos de rede, conexões (`Network_Traffic.All_Traffic`) - **Web** - Requisições HTTP/S, logs de proxy e WAF (`Web.Web`) - **Authentication** - Logins, falhas, MFA (`Authentication.Authentication`) Para que as detecções ESCU funcionem corretamente, os sourcetypes devem ser mapeados para o CIM via **Technology Add-ons (TAs)** - por exemplo, o Splunk Add-on for Microsoft Windows normaliza os Event Logs para os campos CIM do Data Model Endpoint. Detecções relevantes para CVEs do vault: - **[[cve-2024-3400|CVE-2024-3400]] (PAN-OS)** - Detecção de command injection via logs de [[pan-os]] normalizados para o Data Model Web - **[[cve-2023-34362|CVE-2023-34362]] (MOVEit)** - Detecção de webshell upload no Data Model Web + processo anômalo no Endpoint - **[[cve-2021-44228|CVE-2021-44228]] (Log4Shell)** - Detecção de JNDI lookup no Data Model Web, cobrindo [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] ## Risk-Based Alerting O **RBA** representa uma mudança paradigmática na gestão de alertas de SIEM. Em vez de cada regra de detecção gerar um alerta individual - o que resulta em filas com milhares de alertas diários - o RBA atribui uma pontuação de risco numérica a cada entidade (usuário ou sistema) para cada evento suspeito detectado. **Fluxo RBA:** 1. Regra de correlação dispara (ex: PowerShell download, T1059.001) → adiciona 30 pontos de risco ao `User: joao.silva` 2. Segunda regra dispara (ex: acesso a LSASS, T1003.001) → adiciona 70 pontos ao mesmo usuário 3. Quando o risco acumulado supera o limiar (ex: 100 pontos em 24h) → Notable Event de alta prioridade criado Isso é especialmente eficaz para detectar intrusões lentas e furtivas de atores como [[g0016-apt29|APT29 / Cozy Bear]] (que evitam detecções individuais via living-off-the-land) e campanhas multi-estágio do [[g0032-lazarus-group|Lazarus Group]], onde cada etapa isolada parece benigna. ## Integração com Ameaças O Splunk ES fornece cobertura de detecção para os principais malwares e TTPs catalogados no vault: - **[[s0154-cobalt-strike]]** - Análise de frequência de beacon via `tstats` sobre Network_Traffic, detecção de Named Pipe anômalas ([[t1090-proxy|T1090 - Proxy]], [[t1021-002-smb-windows-admin-shares|T1021.002 - SMB/Windows Admin Shares]]) - **[[lockbit]]** - Detecção de deleção de VSS via `vssadmin delete shadows`, criptografia em massa de arquivos (alta taxa de write no filesystem), cobrindo [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - **[[s0559-sunburst]]** - Detecção de DNS beaconing periódico para `avsvmcloud.com` e subdomínios gerados algoritmicamente (DGA), cobrindo [[t1071-application-layer-protocol|T1071.004 - DNS]] - **[[s0368-notpetya]]** - Detecção de propagação via SMB (EternalBlue) e modificação de MBR, cobrindo [[t1112-modify-registry|T1112 - Modify Registry]] e [[t1021-002-smb-windows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] ## Notas Relacionadas **Vendor:** [[_splunk|Splunk]] **Produto integrado:** [[soar|Splunk SOAR]] **Malware com detecções:** [[s0154-cobalt-strike]] · [[lockbit]] · [[s0559-sunburst]] · [[s0368-notpetya]] **CVEs com cobertura ESCU:** [[cve-2024-3400|CVE-2024-3400]] · [[cve-2023-34362|CVE-2023-34362]] · [[cve-2021-44228|CVE-2021-44228]] **Técnicas cobertas:** [[t1059-001-powershell|T1059.001 - PowerShell]] · [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] · [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1090-proxy|T1090 - Proxy]] · [[t1021-002-smb-windows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] · [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] · [[t1071-application-layer-protocol|T1071.004 - DNS]] · [[t1112-modify-registry|T1112 - Modify Registry]] **Atores detectados:** [[g0016-apt29|APT29 / Cozy Bear]] · [[g0032-lazarus-group|Lazarus Group]] · [[cl0p|Cl0p / TA505]] · [[lockbit|LockBit Operators]] **Setores:** [[financial]] · [[government]] · [[healthcare|saúde]]