Splunk Enterprise - возможности обнаружения мошенников

С помощью фишинга, вредоносных программ и изменения изначальных данных мошенники с легкостью могут узнать данные аккаунта пользователя с тем, чтобы использовать эту информацию в своих финансовых махинациях. В качестве примера может быть приведен случай, когда преступники «захватывают» один из онлайн-аккаунтов банка и переводят все денежные средства клиента на счет, контролируемый мошенниками. Также в системах электронной розничной торговли нередки ситуации перенаправления купленных товаров по тем адресам, которые выбирают жулики. Обнаружение и предупреждение подобных «захватов» может стать сложной и дорогостоящей задачей для организации, имеющей собственный веб-сайт в сети Интернет.

Splunk как решение в распознавании мошенничества


Приведем пример решения данной проблемы. Для этого запустим поиск в Splunk Enterprise с тем, чтобы выявить внешние IP-адреса, которые пользуются более чем пятью пользовательскими аккаунтами в течение дня. Такое поведение может указывать на факт мошенничества — используя одну машину злоумышленник тем не менее заходит в большое число аккаунтов. Помимо Splunk Enterprise многие также используют Splunk Light (20 ГБ в день). При этом Splunk Light можно свободно скачать или воспользоваться версией доступной в Splunk Cloud.

Важно. Помимо исследования, представленного в этой статье, каждый может самостоятельно изучить рассматриваемую область.

  • Обращайте внимание на HTTP/S ссылки вместо IP, так как мошенники могут легко их изменить
  • При поиске используйте оператор AND или измените фильтры поиска. Это поможет увеличить вероятность получения правильных и лишенных ложных позитивных выводов результатов. Дополнительным условием, определяющим мошенника, может стать предположение, о том что покупатель через несколько минут после входа в личный кабинет пытается вывести все деньги со счета, поменять банковский аккаунт или адрес электронной почты, привязанный к нему.
  • Splunk может создать профиль, отображающий нормальную «внешнюю» веб-активность клиента (IP, строка агента пользователя и т.д.). Также могут быть использованы «внутренние» записи базы данных для того, чтобы идентифицировать нормальное поведение человека при совершении ряда транзакций. Сюда можно отнести частоту транзакций, стоимость доллара, место, куда были отправлены денежные средства. Когда система Splunk обнаруживает некоторые отклонения от нормального поведения либо во «внешней», либо во «внутренней» активности пользователя, она подает сигнал тревоги. Такая тактика помогает обнаружить мошенников, которые применяя различные инструменты стараются быстро изменить «следы» своего компьютера (например, IP, строку агента пользователя, операционную систему и язык и т. д.). С технической точки зрения, описанный метод чаще всего используется со Splunk Key Value Store.

Источники данных - использование Splunk Stream для записи метаданных трафика


Существует целый ряд возможных источников данных, которые помогут помочь обнаружить мошенника. Такие источники должны как минимум устанавливать IP-адрес посетителя сайта. К источникам данных относят все аналитические продукты, веб прокси/ сервера и программы, записывающие все сгенерированные потоки данных, которые передаются по сети или регистрирующие IP-адреса. Также Splunk Stream может быть использован для записи всех метаданных трафика веб-сайта, включая IP-адреса, строку пользователя, активность на странице и «внутреннюю» информацию по совершенным транзакциям.

Конфигурация Splunk Enterprise


Запустите Splunk Enterprise и отправьте сюда для индексации источники данных, о которых говорилось в предыдущем разделе. Убедитесь, что в необработанных данных журнала программа «понимает», какое поле содержит IP-адрес. Для того, чтобы проиллюстрировать такой случай, приведем моментальный снимок экрана, на котором изображен журнал веб-сервера. Каждая заметка о событии содержит отметку о времени, когда то или иное событие произошло, номер счета, статус аутентификации, имя учетной записи и исходный IP-адрес. Splunk позволяет учесть множество факторов событий.

splunk enterprise

 

 

 

После того, как Splunk извлечет нужные для работы данные, журналы веб-сервера на панели слева будут выглядеть следующим образом.

splunk enterprise

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Далее осуществите поиск в Splunk для того, чтобы обнаружить один IP-адрес, успешно пользующийся несколькими аккаунтами. Точная структура поиска будет изменяться в зависимости от типа импортируемого источника и пороговых значений, которые Вы хотите применить. Ниже представлен пример поиска, в котором используются данные из уже знакомой нам выборки с тем, чтобы определить IP-адрес, с которого осуществляется успешный вход в более, чем пять счетов клиентов в течение одного дня.

 

index=fraud_demo sourcetype=web_site_logs Auth_Status=Success | bucket _time span=1d | stats dc(Acct_Name_Logged_Into) as num_accts by _time,Source_IP | where num_accts >= 5

 

Для того, чтобы затем визуализировать результаты в виде простой диаграммы с временными столбцами, добавьте строку поиска, указанную ниже, к концу написанного выше поискового запроса.

| convert ctime(_time) as day | xyseries day Source_IP num_accts

Как выглядит полученная панель представлено ниже. Она может быть присоединена к новой или уже существующей панели.

splunk enterprise

 

 

 

 

 

 

 

 

И, наконец, Вы можете указать условие оповещения для поиска в Splunk с тем, чтобы получать уведомления по электронной почте, когда все параметры поиска будут соблюдены. Информация о большем количестве необходимых шагов находится ниже.

Рабочий процесс Splunk


Поисковик Splunk может функционировать в режиме реального времени или по расписанию. Если система обнаруживает мошенника, то далее ситуация развивается по нескольким сценариям. Во-первых, специалисту по мошенничеству в сети может быть отправлено электронное письмо с тем, чтобы он вошел в систему и проверил поведение того или иного клиента на нормальность. Настоящий владелец должен быть предупрежден о необходимости изменения пароля. Также Splunk может инициировать автоматическое восстановление, используя при этом пользовательский сценарий действий. Сценарий позволяет выполнять любые действия, кроме тех, которые не прописаны в скрипте (также необходимо учитывать «открытость» других продуктов. Пользовательский сценарий в Splunk может передать команду системе клиентских аккаунтов автоматически заблокировать тот или иной аккаунт и отослать письмо его законному владельцу о необходимости замены пароля. В любом случае после того, как были предприняты описанные выше действия, необходимо провести следующие мероприятия:

  • произвести поиск IP адреса и строки пользователя в Splunk для того, чтобы узнать, что конкретно пытался сделать злоумышленник на Вашем сайте. Проверить, как выглядит сайт;
  • «внутренняя» информация о транзакциях может быть использована для того, чтобы установить, что делал мошенник после того, как получил доступ к аккаунтам клиентов. Если взломщик выводил деньги с аккаунтов клиентов, выполнил за короткое время большое количество операций, изменил почтовый адрес, телефонный номер, домашний адрес, данные кредитной карты, аккаунт банка, аффилированный с аккаунтом, который определяет, является ли мошенник действительной угрозой или нет.

Преимущества использования программы Splunk Enterprise


Программа Splunk Enterprise позволяет быстро вычислять мошенников и предпринимать необходимые действия до того, как жулики используют пользовательские аккаунты в своих целях. Splunk предлагает множество способов обнаружения «вторжения», составления отчета и устранения проблемы. Программа всегда может быть настроены под Ваши нужды.