在日益激烈的网络战中,人力资本仍然是安全团队中最受约束的资源。使这一问题更加严重的是,要将内部资产和事件数据与已知的妥协指标(IOC)和威胁参与者协调起来,这是一个持续的挑战。
尽管SecOps的技术不断进步,但在调查恶意域名或IP时,分析人员仍然要花费大量的时间手工检查和探索外部数据源。在IOC和其他数据源之间建立这样的关系,为事件响应分析人员在事件补救过程中提供关键上下文。然而,分诊和分析过程可能非常耗时,经常成为瓶颈。对SecOps工作流程有一个有益的补充,那就是将国际石油公司的浓缩和鉴定自动化。
与DomainTools Iris Demisto集成,我们可以帮助您确认DNS工件并确定纠正措施。
新的Demisto虹膜应用程序带来上下文DNS智能DomainTools虹膜Demisto。使用Demisto的安全团队可以利用App插件来自动丰富事件中的恶意观察对象。安全分析师现在可以在他们所有的响应工作流程中利用DomainTools智能,并将日常任务自动化。
分析人员现在可以消除上下文切换,并从Demisto War Room内部执行交互式领域调查。该应用程序支持一组关键的专门构建的命令,呈现核心情报,如DomainTools风险评分等从DomainTools Iris以人类可读的格式。作战室的内置功能自动跟踪调查执行方便事件报告。
该插件使安全团队能够自动化剧本,可以通过DomainTools Iris智能大规模丰富DNS可观察数据。分析人员不仅可以访问Demisto ContextData中的关键上下文,而且还可以在指标表中存储DomainTools丰富情报。这允许分析人员关联域和DNS情报,并在组织内跨事件建立IOC的连接。
我们还包括自动化脚本和剧本作为参考,使分析人员能够自动化调查过程,以发现与已知的坏指标相关的连接恶意基础设施。
许多DomainTools和Demisto用户目前利用该集成的早期版本自动化DNS调查和充实。现在,随着DomainTools Iris数据集在Demisto的可用性,用户可以进一步优化和协调Demisto内部的调查步骤。
随着我们看到跨安全操作的SOAR实现的成熟度持续增长,我们期望发现在整个工作流程中自动化DNS丰富的其他方法。请将任何反馈发送到spaul@domaintools.com我很想听听我们如何进一步改善你们的工作流程。
订阅DomainTools每月通讯,以获得创新的,实用的建议,以改善他们的安全态势。我们的目标是帮助组织在其组织的日常防御中更高效、更有知识、更积极主动。