Use Splunk para ejecutar el escaneo de Nmap desde el host remoto al potencial atacante

2

Al recibir ataques internos, me gustaría utilizar alertas Splunk para activar un escaneo Nmap contra ese host atacante desde una máquina remota; otro que no sea el servidor Splunk.

¿Existe alguna API o secuencia de comandos que proporcione esta funcionalidad (alerta Splunk, obtener la dirección de origen, enviar automáticamente la dirección a un host remoto para ejecutar el análisis de Nmap (-A) contra el atacante)?

La idea aquí sería obtener automáticamente información adicional sobre hosts internos que puedan ser maliciosos / comprometidos. Entonces, un posible complemento sería enviar los resultados del análisis a Splunk para la correlación.

    
pregunta SnakeItUp 13.08.2018 - 15:52
fuente

1 respuesta

1

Esta pregunta está más bien basada en opiniones y no realmente sobre seguridad ... así que hasta que esto se marque, contestaré cómo podría lograr esto tan fácilmente como sea posible .

¡Para lo que vale!

  • establezca la alerta Splunk para invocar el script ( docs here )
  • la secuencia de comandos (arriba) podría ser una simple secuencia de comandos de shell que incluye la información necesaria que necesita para la exploración de Nmap como una carga útil en una solicitud POST al servidor a través de cURL
  • configure una API simple para que el servidor acepte datos a través de algo como json-server ( docs here )
  • configure el cron en el servidor para que se ejecute cada N segundos a fin de comprobar si hay datos nuevos en db.json ( json-server data storage) y, si lo encuentra, ejecute Nmap scan
  • potencialmente almacenar los resultados de la exploración de Nmap en db.json para que la máquina Splunk pueda, a través de otro script, consultar datos y acciones en consecuencia

Esto no es en absoluto perfecto, pero al menos podría proporcionarle una ruta temprana para comenzar a piratear juntos un prototipo rápido de lo que está buscando lograr. Idealmente, desearía configurar una API más robusta y probada, pero, una vez más, lo anterior puede ser suficiente como un POC en funcionamiento.

Este es un tutorial para mostrar rápidamente algo como esto con la autenticación JWT.

    
respondido por el waymobetta 14.08.2018 - 08:23
fuente

Lea otras preguntas en las etiquetas