我们很高兴宣布最新版本的Splunk(版本4.3)的Domaintools应用程序。这个针对Splunk,Splunk Enterprise和Splunk Cloud的版本包括性能和可用性增强功能,但也许最重要的是,它增加了被动DNS数据周围的新功能从Farsight Security的DNSDB和新的领域分类和监视虹膜检测到。
许多Dimaintools和远处安全用户也是Splunk用户,从他们那里我们已经了解了在著名事件中浮出水面围绕域的良好背景是多么重要。远见DNSDB和IRIS检测都可以在这些工作流中扮演重要角色:
- 如果您使用虹膜检测来发现欺骗您的公司或品牌(或供应链或供应商生态系统)的新域,则可以通过使用IRIS检测API来分类与这些IR乐动体育官网下载IS检测器中的新域检测到Splunk中的新域。
- 您还可以将虹膜检测列表与Splunk监视列表同步,以查看环境中的新域活动。
- 对于值得仔细检查的领域基础架构,您可以使用远处DNSDB标准或灵活的搜索来深入研究世界上最大的被动DNS数据库。这使您可以通过回答诸如诸如其他哪些域同时共享此IP地址?我可能还想根据与原始域的共同点搜索或警报其他哪些IP地址或外观域?
除了这些新功能外,我们还在版本4.3中进行了其他一些更改和修复。具体来说,我们:
- 由于更新的依赖库,删除了Python 2支持
- 在Splunk Cloud中更新时,添加了分布式搜索配置以解决偶尔问题
- 稍微降低了“富集设置”页面中使用的默认风险分数阈值。(注意:这确实不是覆盖任何用户指定的阈值进行就地升级时)
- 简化了DomainTools设置菜单。我们在新的监视菜单下移动了特定于监视的设置
- 用单页应用程序替换HTML仪表板,以与Splunk当前有关Splunk Cloud的建议一致
在关键安全工具(例如Splunk)中工作时,我们一直在寻找改善您的体验和能力的方法。我们希望,如果您是从未尝试过我们应用程序的Splunk用户,也许您会看看它。或者,如果您使用splunk,但没有虹膜检测到DNSDB,则可以考虑这些工具。