Splunk Giải thích User=Unknow trong Rule Detect Rare Executables– SIEM SPLUNK

pluto

Internship/Fresher
Sep 8, 2020
51
11
8
Giải thích User=Unknow trong Rule Detect Rare Executables– SIEM SPLUNK
1.Mô tả vấn đề trong Rule Detect Rare Executables

Rule Detect Rare Executables có chức năng phát hiện ra các process hiếm, ít được thực thi bởi người dùng thông thường trong hệ thống, những Process này có khả năng được thực thi bởi Hacker hoặc Malware. Do đó, cần phải theo dõi, kiểm soát các Process hiếm này và đưa ra cảnh báo cùng với các thông tin liên quan cho người quản trị. Ví dụ: Process C:\Windows\System32\ServerManager.exe được detect với các thông tin như: Destination(tên host phát hiện Process này), firstTime, lastTime, và User thực thi process này.
1618151749685.png




Tuy nhiên, hiện tại có một số các cảnh báo liên quan tới C:\Windows\System32\VSSVC.exe có User=unknown, như vậy các cảnh báo này đang thiếu một thông tin rất quan trọng.
1618151767048.png




Để kiểm tra, lấy câu search của Rule này, bằng cách chọn ESCU - Detect Rare Executables – Rule trong phần Correlation Search:
1618151782910.png




Copy câu search của Rule trong phần Search ra Notepad:
1618151794665.png



Ta được câu search như sau:

| tstats `security_content_summariesonly` count values(Processes.dest) as dest values(Processes.user) as user min(_time) as firstTime max(_time) as lastTime from datamodel=Endpoint.Processes by Processes.process_name
| rename Processes.process_name as process | rex field=user "(?<user_domain>.*)\\\\(?<user_name>.*)"
| `security_content_ctime(firstTime)`| `security_content_ctime(lastTime)`| search [| tstats count from datamodel=Endpoint.Processes by Processes.process_name | rare Processes.process_name limit=30
| rename Processes.process_name as process| `filter_rare_process_whitelist`| table process ] | `detect_rare_executables_filter`



Từ câu search trên, tìm kiếm trên công cụ Search của Splunk, ta được kết quả như sau:
1618151837615.png





Kết luận: Như vậy trong log event raw đã có kết giá trị user=unknown, do đó đây không phải là nguyên nhân do SIEM xử sai hay cấu hình sai. Tiếp theo, cùng tìm hiểu chi tiết các Process có user=unknown, để tìm hiểu nguyên nhân vì sao một số sự kiện trên Rule Detect Rare Executables có trường thông tin user=unknow


2. Thông tin thêm về các Process có user=unknown.


Các mục dưới đây liệt kê và mô tả các Process hiếm được thực thi, được Detect có user=unknown. Nhìn chung các Process này được thực thi bởi hệ thống OS, hoặc kernel, không được thực hiện bởi user trên Windows. Tuy nhiên, các phần mềm Endpoit vẫn dectect được các Process nào đang chạy, vì không xác định được chính xác do user nào thực thi, cho nên Enpoitn để là unknown.


2.1 C:\Windows\System32\ceipdata.exe

What is ceipdata.exe?

You can help Microsoft improve the quality, reliability, and performance of its operating systems by participating in the Microsoft Customer Experience Improvement Program. If you accept, Microsoft Corporation collects statistical information about your system configuration, the performance of some components of Windows, and certain types of events. Windows periodically uploads a small file to Microsoft that contains a summary of the information collected. About ceipdata.exe (from Microsoft) “The uploaded data contains no information that identifies you or your company. There are no surveys to complete, and it all happens automatically—you’re never interrupted. You should experience no loss in performance. If your computer is not connected to the Internet, the data is discarded. Microsoft does not share this information with other companies; it is used only by Microsoft in aggregate form for the purpose of improving our software for our



==>Microsoft Customer Experience Improvement Program , Microsoft thống kê về cấu hình hệ thống, hiệu suất của một số thành phần Windows, nhằm mục đích cải thiện phần mềm. Nếu VM không kết nối tới internet > dữ liệu đã được thu thập sẽ bị loại bỏ.

Nguồn: https://www.shouldiblockit.com/ceipdata.exe-1228.aspx

2.2 C:\Windows\System32\NETSTAT.EXE
What is netstat.exe doing on my computer? netstat.exe is a process associated with TCP/IP Netstat Command from Microsoft Corporation. This file belongs to Microsoft® Windows® Operating System netstat.exe is a system process that is needed for your PC to work properly. It should not be removed.

netstat.exe

The netstat.exe is an executable file on your computer's hard drive. This file contains machine code. If you start the software Microsoft® Windows® Operating System on your PC, the commands contained in netstat.exe will be executed on your PC. For this purpose, the file is loaded into the main memory (RAM) and runs there as a TCP/IP Netstat Command process (also called a task).

=> TCP/IP Netstat Command from Microsoft Corporation

Nguồn: https://www.processlibrary.com/en/directory/files/netstat/28612/





2.3 C:\Windows\System32\AtBroker.exe
What is atbroker.exe?

The genuine atbroker.exe file is a software component of Microsoft Windows by Microsoft. Windows is an operating system developed, marketed and supported by Microsoft. Windows Assistive Technology Manager is a component of Windows OS, and is designed to help Assistive Technology (AT) products interact with standard and custom user interface (UI) elements. Atbroker.exe is a process associated with the Windows Assistive Technology Manager utility, and does not cause any harm to your PC.

=>Atbroker.exe là một quá trình được liên kết với tiện ích Windows Assistive Technology Manager và không gây hại cho PC.Windows Assistive Technology Manager là một thành phần của Windows OS và được thiết kế để giúp các sản phẩm của Assistive Technology (AT) tương tác với các phần tử giao diện người dùng (UI).

Nguồn: https://www.file.net/process/atbroker.exe.html





2.4 C:\Windows\SysWOW64\wbem\WmiPrvSE.exe
WMIPrvSe.exe or as the description in Task Manager mentions, it is a WMI Provider Host, which is a legitimate background process which runs right after booting up Windows 10, but it’s also found in Windows 7 and 8. It is derived from Windows Management Instrumentation Provider Host Service and the .exe extension is the indication of an executable file.

=> Là tiến trình indows Management Instrumentation Provider Host Service chạy hợp pháp sau khi Windows khởi động.

Nguồn: https://appuals.com/what-is-wmiprvse-exe-in-windows/



2.5 C:\Windows\SysWOW64\wbem\WMIC.exe
The genuine WMIC.exe file is a software component of Microsoft Windows by Microsoft. Windows is an operating system. Windows Management Instrumentation (WMI) is a set of extensions to the Windows Driver Model. WMIC.exe is a command-line utility that is used to access Windows Management Instrumentation and does not cause any harm to your PC.

=> tiến trình dùng để truy cập Windows Management Instrumentation



Nguồn: https://www.file.net/process/wmic.exe.html



2.6 C:\Windows\SysWOW64\rundll32.exe


rundll32.exe có an toàn hay không:

Câu trả lời là có, đây là dịch vụ hệ thống mặc định của Windows. Khá giống với một số tiến trình đã được đề cập đến như svchost.exe, wininit.exe... Cùng với svchost.exe, dịch vụ này cho phép các file *.dll (Dynamic Link Libraries) hoạt động mà không cần tự kích hoạt. Điểm khác biệt ở đây là rundll có thể giám sát và quản lý toàn bộ các file *.dll third-party trong khi svchost quản lý các file dll nội bộ trong hệ thống.



Nguồn: https://quantrimang.com/tim-hieu-ve-tien-trinh-rundll32-exe-74309

2.7 C:\Windows\SysWOW64\netsh.exe


What is netsh.exe?

The genuine netsh.exe file is a software component of Microsoft Windows Server by Microsoft. Windows Server 2016 is a server operating system developed by Microsoft. Netsh.exe is associated with the Network shell command-line utility of Windows Server 2016, and does not pose a threat to your PC.

=>Network shell command-line

Nguồn: https://www.file.net/process/netsh.exe.html

2.8 C:\Windows\SysWOW64\dllhost.exe
Dllhost.exe is a host for DLL files and binary executables. A DLL (dynamic link library) is essentially a size-unspecific block of code stored in a single file. This code can be the makeup of an application, service, or just an add-on for a graphical user interface. Dllhost.exe, similar to svchost.exe, is a required Windows service for any COM+ oriented programming code. A sample of what dllhost.exe runs is shown below using Process Monitor, which includes both .dll and .exe file types.

=>tương tự rundll32.exe

Nguồn: https://www.groovypost.com/reviews/dllhost-windows-process-explained/


3. Kết luận về User=Unknow trong Rule Detect Rare Executables– SIEM SPLUNK


Sau khi cùng tìm hiểu về các Process trên Rule Detect Rare Executables có giá trị user=unknow, nhận thấy các Process này có điểm chung là : được thực thi bởi các thành phần quan trọng trong Windows OS. KHÔNG cần tác động của các user trong OS, các Process này vẫn được thực thi, một số Process được khởi động của với Windows trong quá trình start. Do đó, các Process được định danh bởi User có quyền cao nhất trong hệ thống, vượt quyền của Administrator.
Tuy nhiên, hệ thống Endpoint vẫn detect được các Process này, nhưng không tìm được chính xác user nào đã thực thị Process này, do đó hệ thống Endpoint sẽ chọn User=Unknow để hoàn thành thông tin cho các Process này. Do đó, trên hệ thống SIEM Splunk sẽ sử dụng User=Unknow để xây dựng các sự kiện, cảnh báo... , do đó dẫn đến nguyên nhân một số sự kiện trong Rule Detect Rare Executables thông báo User=Unknow.
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu