soar - RunkIntel

# Splunk SOAR > SOAR · Vendor: [[_splunk|Splunk]] ## Visão Geral **Splunk SOAR** (Security Orchestration, Automation and Response), anteriormente conhecido como **Phantom** antes de sua aquisição pela [[_splunk|Splunk]] em 2018, é uma das plataformas SOAR mais amplamente adotadas na indústria de segurança. A plataforma combina um construtor visual de playbooks (drag-and-drop) com um SDK Python completo para lógica complexa, permitindo que equipes de SOC automatizem tarefas repetitivas de Tier 1 e acelerem a resposta a incidentes. **Diferenciais:** - **Mais de 350 conectores (apps)** para integração com ferramentas de segurança, TI e produtividade - de soluções EDR como [[falcon-edr|CrowdStrike Falcon]] e [[_sentinelone|SentinelOne]] a firewalls, SIEMs, sistemas de ticketing e APIs de threat intel - **Integração nativa bidirecional com [[enterprise-security|Splunk ES]]** - Notable Events no ES disparam playbooks no SOAR automaticamente; ações do SOAR atualizam o status dos casos no ES - **Mission Control** - Interface unificada de gestão de casos e filas de trabalho para analistas de SOC - **Community Playbooks** - Repositório público de playbooks prontos para uso, mantido pela comunidade Splunk e disponível no Splunk Splunkbase O Splunk SOAR é especialmente eficaz para automação de tarefas de Tier 1: triagem de alertas, enriquecimento de IoCs, lookup em bases de threat intel e ações de contenção simples - liberando analistas sênior para investigações mais complexas. ## Playbooks Os playbooks do Splunk SOAR podem ser construídos de duas formas complementares: 1. **Visual Playbook Editor (VPE)** - Interface drag-and-drop onde cada ação é um bloco conectado por condicionais. Ideal para fluxos lineares e analistas com menos experiência em programação. 2. **Python SDK** - Para lógica complexa, loops, condicionais avançadas e integrações customizadas. Todo playbook visual é convertido em Python por baixo dos panos. **Fluxo típico: Investigação de phishing** ``` [Splunk ES: Notable Event - Phishing Email Detected] ↓ [SOAR: Extrair IoCs do e-mail - URLs, anexos, remetente] ↓ [SOAR: Enriquecer URLs via VirusTotal → positivo/negativo] ↓ [SOAR: Enriquecer hash do anexo via MalwareBazaar] ↓ (se malicioso) [SOAR: Isolar endpoint do remetente via CrowdStrike Falcon] ↓ [SOAR: Bloquear domínio do remetente no Cisco Umbrella] ↓ [SOAR: Abrir ticket no Jira com relatório completo] ↓ [SOAR: Atualizar Notable Event no Splunk ES → status: Contido] ``` Este fluxo automatiza completamente uma triagem de phishing que normalmente levaria 30-60 minutos de trabalho manual de um analista Tier 1. **Outro exemplo: Contenção de endpoint comprometido** O fluxo integra [[falcon-edr|CrowdStrike Falcon]] para isolamento de rede, [[enterprise-security|Splunk ES]] para correlação de eventos adicionais no mesmo host, e lookup de IoCs extraídos no VirusTotal e em feeds como [[_intel/sources|TweetFeed]] e OTX AlienVault. ## Casos de Uso CTI O Splunk SOAR é utilizado para resposta automatizada a ameaças específicas catalogadas no vault: ### Resposta a Ransomware ([[lockbit]]) Quando o [[enterprise-security|Splunk ES]] detecta indicadores do [[lockbit]] - como deleção de shadow copies (`vssadmin delete shadows`), [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]], ou criptografia em massa de arquivos - um playbook SOAR pode: 1. Isolar imediatamente o endpoint afetado via [[falcon-edr|CrowdStrike Falcon]] ([[t1070-indicator-removal|T1070 - Indicator Removal]]) 2. Verificar se backups recentes existem via integração com soluções de backup 3. Bloquear hashes do ransomware em todos os endpoints da rede 4. Notificar o time de IR e criar ticket de incidente crítico ### Resposta a C2 Beacon ([[s0154-cobalt-strike]]) Detecção de beacon periódico do [[s0154-cobalt-strike]] dispara playbook que: 1. Extrai domínio/IP do C2 dos logs de Network_Traffic no Splunk ES 2. Adiciona o domínio à blocklist do DNS (ex: [[cisco/umbrella|Cisco Umbrella]]) 3. Bloqueia o IP no firewall perimetral 4. Executa lookup reverso e WHOIS para enriquecimento do IoC 5. Publica IoC no MISP para compartilhamento com a comunidade ### Resposta a Exploração de CVE ([[cve-2024-3400|CVE-2024-3400]]) Para tentativas de exploração da vulnerabilidade crítica do [[pan-os]] ([[cve-2024-3400|CVE-2024-3400]]): 1. Detecta o padrão de requisição maliciosa nos logs de [[pan-os]] 2. Verifica se o IP de origem está em listas de threat intel conhecidas ([[t1547-001-registry-run-keys|T1547.001 - Registry Run Keys]]) 3. Adiciona regra de bloqueio automático no [[pan-os]] via API 4. Correlaciona o IP com outros eventos nas últimas 72 horas no Splunk ES 5. Gera relatório de IoCs associados para o time de segurança > [!latam] Relevância para Brasil e LATAM > O Splunk SOAR é adotado por SOCs de grandes bancos e multinacionais com operações no Brasil. A automação de resposta a phishing bancário e detecção de ransomware - ameaças dominantes no mercado brasileiro - torna esta plataforma estratégica para equipes de segurança na região. ## Notas Relacionadas **Vendor:** [[_splunk|Splunk]] **Produto integrado:** [[enterprise-security|Splunk Enterprise Security]] **Ferramentas integradas:** [[falcon-edr|CrowdStrike Falcon]] · [[_sentinelone|SentinelOne]] · [[cisco/umbrella|Cisco Umbrella]] · [[pan-os]] **Malware respondido:** [[lockbit]] · [[s0154-cobalt-strike]] **CVEs com playbooks:** [[cve-2024-3400|CVE-2024-3400]] · [[cve-2021-44228|CVE-2021-44228]] **Técnicas cobertas:** [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] · [[t1070-indicator-removal|T1070 - Indicator Removal]] · [[t1547-001-registry-run-keys|T1547.001 - Registry Run Keys]] · [[t1071-application-layer-protocol|T1071.004 - DNS]] · [[t1090-proxy|T1090 - Proxy]] **Atores com cobertura:** [[lockbit|LockBit Operators]] · [[g0016-apt29|APT29 / Cozy Bear]] · [[g0032-lazarus-group|Lazarus Group]] **Setores:** [[financial]] · [[government]] · [[healthcare|saúde]] · [[telecommunications|telecomúnicações]]