Splunk, ağ trafiğini izlemek ve analiz etmek için kullanılan bir güvenlik bilgi ve olay yönetimi (SIEM) platformudur.

SMB saldırılarının tespiti için Splunk üzerinde yazılabilecek bazı kurallar örnekleri aşağıdaki gibidir:

– Dışarıya giden SMB trafiğini tespit etmek için:

index=* sourcetype=stream:tcp dest_port=445 OR dest_port=139
| stats count by src_ip dest_ip
| where ispublic(dest_ip)

– SMB trafiğindeki anormal artışı tespit etmek için:

index=* sourcetype=stream:tcp dest_port=445 OR dest_port=139
| bucket span=1h _time
| stats count by _time src_ip dest_ip
| eventstats avg(count) as avg_count stdev(count) as stdev_count by src_ip dest_ip
| eval upperBound=(avg_count+stdev_count*2)
| where count > upperBound

– SMB paylaşımında dosya aktivitesini izlemek için:

index=* sourcetype=WinEventLog:Security EventCode=5145 OR EventCode=4663 OR EventCode=4656 OR EventCode=4658 OR EventCode=4660
| table _time host user src_ip dest_ip file_name action

– SMB protokolünü kullanan zararlı yazılımları tespit etmek için:

index=* sourcetype=WinEventLog:Security EventCode=5145 OR EventCode=4663 OR EventCode=4656 OR EventCode=4658 OR EventCode=4660 file_name="*.exe" OR file_name="*.dll" OR file_name="*.bat" OR file_name="*.ps1" OR file_name="*.vbs"
| table _time host user src_ip dest_ip file_name action

(1) Detect Outbound SMB Traffic — Splunk Security Content. https://research.splunk.com/network/1bed7774-304a-4e8f-9d72-d80e45ff492b/
(2) SMB Traffic Spike — Splunk Security Content. https://research.splunk.com/network/7f5fb3e1-4209-4914-90db-0ec21b936378/
(3) Monitor File Activity on SMB Share — Splunk Community. https://community.splunk.com/t5/Getting-Data-In/Monitor-File-Activity-on-SMB-Share/m-p/502240
(4) Use case SMB Traffic by bytes transfer — Splunk Community. https://community.splunk.com/t5/Getting-Data-In/Use-case-SMB-Traffic-by-bytes-transfer/m-p/519559