|产品更新| 2020年1月29日

DomainTools和Phantom如何协调工作,让您能够翱翔

更新日期:2020年1月29日

目前网络安全产品领域最令人兴奋的发展之一是将编排软件从一个小众工具提升为一种基本功能。

供应商和分析师们将这一类别命名为“SOAR”,这是一个非常有抱负的首字母缩写,代表“安全编排、自动化和响应”。它反映了这些产品在各种用例中的广泛应用。

幻影网络钓鱼策略1

也许对这一趋势最明显的支持是Splunk在2018年收购Phantom3.5亿美元。我饶有兴趣地听了Splunk在2018年Splunk大会上推出的新的“自适应编排框架”。幻影(Phantom)创始人奥利弗•弗里德里希斯(Oliver Friedrichs)的演讲,似乎正针对我经常从试图扩大组织规模的安全领导者那里听到的挑战。弗里德里希斯现在在Splunk工作。

听Oliver在奥兰多的演讲也唤起了一种怀旧的感觉——我记得几年前,我的DomainTools收件箱里出现了一封来自Oliver的邮件,要求在Phantom中构建DomainTools集成的API密钥。我当时不知道他在构建什么,但当我仔细观察时,我很快就爱上了他和他的团队正在构建的产品,我很自豪他们选择DomainTools作为他们最早的Phantom集成之一。

编配用例也是我的同事和我在对虹膜调查空气污染指数我们去年推出的。我们在API中内置了一些特定的功能,比如Guided Pivot计数、组件风险评分和标签,因为我们知道它们会成为很棒的幻影剧本,从那以后我就一直渴望得到这些功能。

这就是为什么我对我们刚刚发布的新的“DomainTools虹膜调查”幻影应用程序感到如此兴奋,这是专门为虹膜调查API而构建的。现在,所有丰富的虹膜调查数据不仅可以用于对幻影中特定事件的临时研究,还可以用于幻影剧本中的自动行动。

下面是这款新应用的关键功能的简要介绍。

首先,您将看到我们在Phantom中使用标准的“whois”动作来获取域名的完整虹膜调查配置文件。这是相当愚蠢的,诚实地说,称这只是“whois”,因为注册人的详细信息只是从虹膜调查返回的域数据的一个子集。我们还包括:

  • 域名服务器、邮件服务器和web服务器的IP地址和主机名详细信息
  • 域上托管的网站的SSL证书详细信息和跟踪代码
  • 从DNS SOA记录提取的电子邮件地址
  • DomainTools风险评分,包括组件和证据
  • 用于跨职能协作的调查标记

最后一个功能非常强大,特别是在Phantom这样的产品中。

Phantom DomainTools虹膜事件

如果您已经在使用DomainTools虹膜调查,甚至是我们的SIEM集成之一,您已经开始欣赏DomainTools威胁配置文件和基于邻近性的领域风险评分的预测性质。虹膜调查API返回该分数,但也给出了每个机器学习分类器的个人分数,以及对预测证据的一些见解。

我们利用了Phantom灵活的UI框架,为交互式调查页面上的域风险评分提供了一个漂亮的彩色编码视图,但真正的力量在Phantom的剧本中,现在您可以根据这些组件风险评分做出有针对性的决策。如果我们给一个域名的恶意软件打90分,你想更紧急地做出回应吗?或者对中等风险的可能是垃圾邮件的域名采取不同的操作?很容易做到,在幻影剧本的决定块。

但是如果你真的想用这些幻影决策块做一些很棒的事情,你应该好好看看虹膜调查中的Guided Pivot计数。这些计数将在虹膜调查的十多个字段的每个结果中返回,并指示有多少其他域与该值共享。

例如,domaintools.com的IP地址返回的Guided Pivot计数为4,这使得它成为后续Pivot枚举那些已连接域的完美目标。这让您可以轻松地构建一个“自动转向”剧本,复制典型的分析师操作,并让您主动准确地阻止共享基础设施。

这些枢轴搜索在几个“反向”操作中可用,以支持传统的剧本,但如果您从头开始,一定要检查“枢轴”操作,它支持Iris中几乎所有的查询类型。

Phantom DomainTools Playbook

此外,我们还内置了标签,作为调查人员在Iris调查中装饰数据的一种方式。组织可以利用在Phantom的DomainTools Iris中创建的标签来加快分类过程,当需要额外的上下文来通知安全操作工作流的剧本时。

在Iris中,你可以用它做更多的事情,我们确信我们只是触及了表面。当你开始在你自己的剧本中利用虹膜调查API时,最好的结果将会到来,因为该API已经提供给所有DomainTools企业虹膜客户,没有理由等待。

了解更多

加入超过30,000名安全专业人员

订阅DomainTools每月通讯,接收创新,实用的建议,以改善他们的安全态势。我们的目标是帮助组织在其组织的日常防御中变得更高效、更有知识和更积极主动。

视图DomainTools”隐私政策