产品更新| 2020年3月30日

我们社区的DNS威胁情报

随着2019年的推出DomainTools MISP插件,我们使DNS威胁调查在免费的开源威胁共享平台中可用。我们的丰富数据集继续为非商业威胁情报平台内部的妥协指标(IOC)提供上下文丰富,使我们的用户能够搜索未知的恶意基础设施。

今天我们很高兴地宣布DomainTools虹膜集成TheHive和Cortex.通过这种集成,我们扩展了安全操作中心(soc)内自动事件响应(IR)和编排功能的能力。

首先,什么是TheHive和Cortex?

TheHive是一个可扩展的开源解决方案,为soc、网络安全事件反应小组(csirt)、计算机紧急反应小组(cert)和任何信息安全从业者构建,使他们能够有效地调查安全事件。跨事件管理阶段和功能的协作是该平台的核心。可以使用模板为每个调查手工或自动创建案例,模板可以根据调查的类型而变化。

皮质是一个独立的分析引擎和TheHive的完美伴侣。TheHive通过REST API与Cortex进行原生对话,以执行可观察数据的快速评估。

这两个平台加在一起可以大大节省时间,并省去一些相关的繁琐任务。然后,分析人员可以使用您可以添加的Analyze功能,并研究与案例相关的单个或数千个可观察对象。最后,将TLP和源标记相关联的良好老实践也在该平台中得到了实现。

作为TheHive项目在过去3年里逐渐成熟,我们注意到它在我们的客户基础中也被采用为一个可行的企业SOC/CSIRT/CERT工具。当我们的用户开始在TheHive中操作他们的事件管理流程时,他们很快发现在调查事件时需要DNS威胁上下文。尽管许多用户已经可以访问我们的情报数据集,但分析师对这些应用程序的访问往往很少,甚至有限。对于一些能够访问这些上游系统的人来说,他们感到了继续进行调查和使用多个工具集进行分类的负担。

解决方案是显而易见的——用DomainTools Iris智能大规模地丰富TheHive中的可观察数据,并阐述事件管理功能的价值。通过这种集成,我们带来了可操作的事实,以及DomainTools分析、领域风险评分和威胁证据形式的证据。所有这些都利用了TheHive中功能强大的指向点击界面。

在我深入研究这个集成的功能、机制或细微差别之前,我想对我的队友们表示感谢,TheHive项目成员,以及最重要的是我们的客户,他们帮助实现了集成用例。

可观测的浓缩

DomainTools虹膜分析器是用Investigate API构建的,它为域带来虹膜数据,包括Whois、域风险评分和与域相关的工件,如SSL、ASN信息等。

在丰富可观察数据的同时,我们将丰富的数据持久化在事件内的可观察报告中。这使用户可以方便地查看丰富的数据集,包括DomainTools引导的数据透视,以帮助进一步的调查。

引导枢轴低于阈值限制的工件,由组织配置,为方便直观地突出显示。用户可以添加这些工件作为轴心/反转的潜在点。

这使分析人员能够在不跨多个工具切换上下文的情况下调查事件。此外,事件内部的丰富数据形成了方便报告和协调的合格工具。当分析师觉得需要潜入DomainTools调查平台时,他们可以方便地从可观察报告中启动它,所有这些都不会丢失他们在调查中的上下文。

发现连接基础设施

但是,如果仅仅分析DNS工件并不能为您提供足够的洞察力,那该怎么办呢?如果你能掀开帷幕,看看什么与域可观察对象相连就好了。瞧,DomainTools Iris pivot分析器将允许TheHive用户实现这一点。使用pivot动作作为分析器,用户可以在任何相关的ip、SSL散列和注册电子邮件地址上进行pivot操作,并检索相关的ioc。

如果你要抛硬币决定你应该选择哪个属性,你可以把它留给点唱机。我们带来了我们专有的导向数据透视分析,这将指导您的调查。引导枢轴计数通常会自己创建一个调查路径,甚至在你决定枢轴之前。

我有没有告诉过你,我们已经在可观察强化期间为你高亮(标记)了可行的引导枢轴?

恭喜你,你刚刚发现了一组全新的ioc,否则它们将无法被检测到。再加上一些DomainTools分析,如Age, Domain Risk Score等作为过滤器,你可能已经缩小了一个非常目标的IOCs列表,将被导入到你用来巩固情报和地图取证的平台。

现在你可能会想,这似乎太容易了,不可能是真的。我说,不用谢。

如果你是MISP用户,您还可以通过链接两个实例从MISP事件中自动创建用例。这是古老的开源社区的魔力和所有成员的投资。如果您需要看到它的实际运行,我们将乐意向您展示一个功能演示并分享我们的专有技术,以便您的团队可以快速运行。

图:与TheHive双向同步后的MISP事件

对于那些还没有机会玩TheHive或Cortex生态系统的人,我强烈推荐它。如果您希望企业支持TheHive和Cortex生态系统,您可以通过以下方式联系创始团队StrangeBee

对于现有的DomainTools Iris客户,Iris api都是您平台访问的一部分,所以没有借口不给它一个尝试。我们的分析程序可以从TheHive Github repo下载。

毕竟,它是免费的,而且你可能冒的最大风险是在一个慵懒的春天下午呆上几个小时。

基于我们的核心理念,我们继续相信并民主化DNS威胁调查。用于TheHive集成的DomainTools Iris证明了事件响应编排不仅在昂贵的商业产品中是可能的。而且,现在我们可以利用免费和开源的解决方案来抵御网络攻击。乐动体育网址随着MISP、TheHive和Cortex与DomainTools Domain和DNS基础设施情报的集成,我们可以共同抵御大规模的攻击,并帮助使互联网成为一个更安全的地方。

来源:https://dilbert.com/strip/2007-08-03

了解更多

加入超过30,000名安全专业人员

订阅DomainTools每月通讯,以获得创新的,实用的建议,以改善他们的安全态势。我们的目标是帮助组织在其组织的日常防御中更高效、更有知识、更积极主动。

视图DomainTools”隐私政策