简介
每个月我们的鸡尾酒指标系列中,我们来看看DomainTools产品的一些特定功能。我们主要关注虹膜,但4月版也简要地研究了一下PhishEye.我们使用最近的对手活动基础设施作为示例数据进行这些小型培训,通常扩展到已发布的指标列表之外,以查找可能与已识别的活动(或可能没有正式活动分类的集群活动)相关联的新域名和IP地址。
哦,我们还喝可口的饮料。
对梅来说,她喝的是美味但往往价格便宜的迈泰。下面是食谱:
如果你像我一样,多年来你喝过的大部分麦泰几乎肯定是由预混合的糖制成的,其中可能含有85%的糖。上面的食谱来自纽约一家地下酒吧PDT他们知道如何正确地制作饮料。祝您健康!
我已经完成了我的调查:现在怎么办?
5月份的培训涵盖了将您在Iris中开发的数据用于进一步行动的各种方法,包括从防御(构建防火墙/IPS规则,构建检测)到管理(为管理层生成报告,GRC等)到协作(与其他Iris用户共享调查,或与信任组或执法部门共享指标)。Iris提供了五种不同的共享信息的方式。
为了说明这一点,我们研究了与FireEye所谓的“捉刀人,他们称之为UNC1151。这是一个针对几个特定国家的网络间谍组织,他们的ttp中有很大一部分是窃取证书,然后假扮成受害者,发布在他们的社交媒体账户上。他们以重要的受害者为目标,以便尽可能广泛地传播他们的信息(主要是反北约)。我们拿了一些指标凯尔Ehmke5月13日,并在此基础上扩展了数十个与已确认的UNC1151基础设施有很多共同之处的域名列表。许多这样的域名目前还没有被列入屏蔽列表,但他们的邪恶目的是非常明显的。
面包屑,但有区别
下面的截图显示了虹膜中的搜索历史。它形成了你在调查过程中进行的每一个枢轴或新搜索的面包屑痕迹。路径的节点可以携带各种信息。在这个例子中,我们有第一个关注的节点,它有Kyle在13号发布的两个域名。其他一些节点上有一些数字。这个数字显示了在Iris中共享信息的一种方法:它代表了调查人员在调查的这一步所做的记录的数量。
带有注释节点的虹膜搜索历史
其中一个节点上有数字2和一个星号。可以将星号添加到任何节点上,将其表示为重要节点,并且这两个注释(我们将在稍后看到)给出了为什么调查的这一步是有用的上下文。
“但是等等,”你可能会想。“这是怎么回事?分享虹膜允许您在DomainTools组中与其他虹膜用户共享调查结果。如果您在一个团队中工作,并且不止一个人在Iris中研究基础设施,那么您创建的笔记可以被其他研究人员看到。
调查共享按钮
协作者或文档注释
您可以以只读、读取+添加或读取+添加+删除的方式共享调查,这取决于您想给同事多大的控制权。
传递哈希
不,这不是指毒品,也不是指网络对抗技术.相反,Iris允许您导出任何查询的散列,以便不属于您的组的另一个Iris用户可以查看您运行的相同查询。当你以这种方式分享时,另一方看不到调查记录或任何你的搜索历史(面包屑),但他们确实看到了你所做的同一查询的结果。
搜索散列导出和导入控件
报到上班
有时需要一份正式的调查报告,无论是给领导、同事,还是只是作为组织文件要求的一部分。Iris允许您生成一个.pdf报告,其中显示您所采取的调查步骤和所发现的数据的各种表现形式,包括指标列表、搜索散列和详细的域信息。调查的描述(你可以在下面的截图中看到)以及你在此过程中添加的任何注释都记录在.pdf报告中。将提供一个示例报告有关连同这篇博客一起供你细读。
机器可读的出口
您可能还希望与其他将以编程方式使用数据的人共享您在Iris中开发的指示器。Iris允许您将数据导出为.csv文件,或STIX版本1.2或2.0。后者对于isac或其他信任组中的用户特别有用。csv导出可用于生成检测或防火墙规则。.csv导出的列将显示在Pivot Engine中活动的任何列。对于某些用例,您可能选择只显示域和IP地址列,而对于其他用例,您可能希望显示所有内容。
虹膜结果导出为.csv
选择导出
以何种方式从Iris导出或共享数据取决于您的需求以及与谁共享数据。下面是考虑它的一种方式,但您自己的需要可能会重新安排一些复选符号。
| 领导力或GRC | 托管组 | 安全管理/ DX工程 | 执法 | 商业生态系统 | 您组中的虹膜用户 | 组外的虹膜用户 | |
|---|---|---|---|---|---|---|---|
| . pdf报告 | |||||||
| . csv导出 | |||||||
| 斯蒂克斯出口 | |||||||
| 查询哈希 | |||||||
| 调查 |
如果你错过了国际奥委会的网络研讨会,你可以重新来过在这里,你可以注册以后的分期付款在这里.希望很快能在那里见到你,还有……干杯!