我经常梦想我们的调查工作流程是这样的:你按下“开始调查”按钮,坐下来喝杯咖啡——如果你喜欢,也可以喝茶——然后应用程序为你完成剩下的收集、分类和提醒工作。你所要做的就是按下“停止调查”按钮,查看被标记的ioc的优先级列表——所有这些都在5分钟内完成。
DomainTools一直在寻找让你的生活更轻松的方法,无论你是沉浸在我们的调查平台之一,还是只是在另一个工具中使用我们的数据集-包括在一个强大的平台,如Splunk。
如果您熟悉DomainTools Splunk App,您就已经理解了使用DomainTools智能数据集实时批量丰富您的网络可观察对象的好处。如果你正在阅读这篇文章,你可能想知道如何才能使它变得更好。
除了我还没有解决“开始调查”的按钮,或者我们(科技文明)还没有共同解决的其他事情——比如预测流行病、控制野火、让汽车飞起来——未来看起来很乐观。
虽然我的梦想还在继续,但我们一直在忙于取得微小的、渐进式的进展。我想我们应该谈谈我们最近在这个最新的应用中添加的一些漂亮的小东西(又名功能)。
Splunk的调查
如果你是DomainTools的高级用户,你可能知道一些巧妙的方法来利用Splunk的搜索处理语言和调用DomainTools的生成命令来执行查找。但这可能并不适合所有人。
在这个版本中,我们引入了Splunk内部的调查功能。在分析带外域IOC时,您现在可以发现共享连接基础设施的潜在恶意域。我们在Splunk UI中显示这些连接的基础设施组件作为可行的调查路径,因此您可以方便地旋转(又名点击按钮),并拉入DomainTools已经发现的所有域ioc。
这是非常强大的,因为您现在可以通过直接启动Iris调查平台或通过使用DomainTools监控功能主动监控Splunk内部的这些恶意域来维护调查上下文。
改善环境
考虑这样一个场景,您正在扫描与某个域可观察对象相关的新发现的域,现在您需要能够为这些您一无所知的ioco的糟糕程度分配权重。不要害怕!您现在可以看到所有这些域的DomainTools风险评分,以及它们在Splunk和您当前调查的背景下的威胁概要。
如果您是Splunk企业安全用户,DomainTools的显著事件现在将显示一些关键的丰富数据,您将需要更快的分类。
应用程序接口备用
最新版本在改进的用户界面中提供了所有这些数据丰富和调查功能。根据实际使用数据的方式、需要数据的位置以及数据可能为您添加最多上下文的位置,重新设计了菜单和数据表等用户界面元素。
第三方应用的配置和管理非常繁琐。是的,我们同意。虽然我们可能永远无法带来与原生应用相同水平的灵活性,但我们让它更容易。
您现在可以通过点击菜单从UI中配置、重新配置、验证和调试应用程序的关键组件。
在调查过程中,如何从我们庞大的情报数据集中轻松获得上下文的另一个例子是:领域配置文件页面视图现在从风险评分、证据和流行但不断缩小的Whois信息中可视化地分离数据组件。此配置文件视图还显示您的网络中包含所调查域的任何最近事件。
DomainTools PhishEye功能的通用可用性
不久以前我们介绍了Splunk内置的PhishEye功能。当时,我们从我们的用户基础那里收到了这些功能的验证,以及关于需要改进的方面的建设性反馈。我们利用这些反馈让游戏变得更好。
您现在有了一个完全重新设计和改进的端到端工作流,用于从PhishEye检索监视器(品牌或术语),并将新发现的域拉入Splunk内部进行下游监控或管理。有了您的工作流程,该应用程序允许您通过简单的点击和导航方便地管理整个过程。
支持Splunk 8.0
如果你使用Splunk 8。X版本之后,您现在就有了一个经过认证的应用程序可以部署到您的环境中。最新版本将在您的环境中支持python3和python2(如果您坚持的话)。
这个应用程序版本是从零开始重建的,以利用Splunk SDK最近引入的新功能。你可以期待在仪表板上更快的搜索,以及在数据集中关联更多事件的能力。
虽然还有许多其他的功能,如诊断、使用仪表板或域允许列表我们可以在这里讨论,我邀请你们在尝试的同时探索这些新应用程序.
总而言之,虽然我们目前的现实离我的终极梦想还有些遥远,但我们仍在不断地努力,我希望有一天我们可以按下“开始调查”按钮,或者更好的是,有一种增强现实技术在我们奢侈地啜饮咖啡(或茶)时为我们按下按钮。
请大家继续保重身体,注意安全,狩猎愉快!
要了解更多信息,请加入Splunk和DomainTools,了解用于Splunk的DomainTools应用程序如何提供增强的功能、性能和用户体验。