引入新的IRIS调查API
我们从客户那里听到的最常见的折扣之一是他们追求他们所谓的“单件玻璃”。
他们设想了每个人在同一用户界面中运行的SOC,并得到一个系统的支持,该系统收集了他们所需的所有数据,简化工作流程,并保留其分析结果,以进行未来的相关性和持续的过程改进。
这是一个崇高的目标,是Domaintools完全支持的目标,几乎可以为我们所有数据集提供了一套企业级API。我们的客户已将这些API大规模利用,以在网络日志,丰富SIEM警报,自动化工作流以及视觉上将我们的数据与他们的数据合并为出色的结果。
我们的许多技术合作伙伴都加强了他们的案例,即通乐动首页过为Domaintools API提供动力并由我们的域名和历史数据启用的产品,通过为其产品添加有见地的功能来加强他们的案例。当然,我们已经建立了一套大型且不断增长的应用程序和插件Splunk和Qradar应用程序,我们对MISP,转换马尔特戈和剧本幻影, 仅举几个。
当然,有效的威胁分析和警报分类并不总是与数据有关。通常,您需要专门的工具来帮助浏览数据,构建分析并对结果采取行动。它需要大量的努力(和成本)才能将这些功能构建到您选择的单个玻璃窗格的系统中。然后,领导者必须做出艰难的决定,即是否将团队成员送入专业产品以继续工作,或者没有这些功能。
老实说:Domaintools Iris调查并不容易,因为IRIS调查可以为您的团队提供功能,超越了域配置文件和DNS数据的静态显示。
我们称其为“映射连接的基础架构” - 我们的客户称其为“在我们不知道存在的网络上找到坏人域”或“阻止攻击者曾经注册过的每个域”。但是,您将其标记,通过网络,名称服务器,SSL证书和跟踪代码进行标记,这些代码将一个域与数十个或数百个链接的代码相关联。
结合可视化,历史数据和相邻的无源DNS数据,以及我们在2018年的路线图上获得的一些令人难以置信的东西,并且您有很多很好的理由使用IRIS调查。
直到最近,所有这些数据和旋转功能都只能在IRIS中可用,但是今天会改变用户界面。
引入IRIS研究API,很容易成为我们有史以来最全面,最有能力的API端点。
这就是为什么我们对此感到如此兴奋:
这是一个很好的例子:通常,知道邮件主机或Web服务器与其他一些域共享本身就是一个有用的见解,但很容易错过。没有虹膜调查,现在,没有在虹膜之上构建的任何内容调查API。一旦您发现这些枢轴点,相同的IRIS调查API将戴上其超级英雄CAPE并找到共享十二个不同领域中任何一个的域。谁属性?嗯,是的,毕竟我们是Domaintools。SSL证书电子邮件地址还是通用名称?完毕。共享的Web主机,名称服务器,邮件服务器,Google Adsense代码,重定向目标?Zip,Bam,Pow在所有方面!基本上,如果您可以在IRIS中的某些内容调查用户界面枢轴引擎,则可以在IRIS中进行相同的操作,并在IRIS调查API中进行此操作 - 很快,在您一直隐藏在SOC经理中的一堆代码中。
而且,当您认为您可以将API查询限制在最近创建的域,然后每天运行该查询时,您现在拥有一个持续的超级英雄,将来可以找到任何这些东西。指出python在您的代理块列表中,您的飞机或网络上都不会有蛇。卡波!
- 但是,等等,还有更多 - 您可以直接在IRIS调查API上放置IRIS调查搜索哈希,而无需其他搜索参数,最终您将获得相同的结果设置分析师在达到最佳的标准后,将其设置为一个分析师锯列举了一组域。最后一个是我特别高兴的事情,因为它可以使IRIS调查用户界面与IRIS构建的解决方案进行了研究API并存。乐动体育网址考虑一下:您的前线防御者(许多团队标签“第1层”)看到一个已经充满IRIS的数据的警报。他们将其升级到票务系统中,在该系统中,自动化工作流程查看指导枢轴计数,并运行Iris对最有前途的领域进行调查。您的下一级分析师和红外线团队迅速采取行动阻止或补救,并由Domaintools Iris调查和其他地方的数据所告知。
最后,英特尔,恶意软件和狩猎团队的威胁要深入,利用IRIS调查UI来帮助他们找到已发表的英特尔和新发现的演员基础架构之间的交叉点。他们导出IRIS调查搜索哈希并将其粘贴到您构建的工具中,以阻止虹膜调查今天的结果,并在将来监视新域。这个故事不仅是一个愿景:对于利用虹膜调查并愿意创造性地思考使用虹膜调查用户界面的地方以及数据和枢轴搜索就足够足够足够的团队,这可能是一个现实。自己的。实际上,对于我们来说,使您在IRIS中合并查询分配的混合用法模式对用户界面进行了合并,这一点非常重要。这意味着您选择使用虹膜调查的哪种机制无关紧要 - 您有相同的共享查询池可从中提取。
我们还提供了每项新的IRIS调查,都没有收取任何额外费用,因此我们还提供了这一令人难以置信的API,因此,确实没有理由不破解并为其建立了令人难以置信的东西。鼓励对IRIS调查API感兴趣的现有IRIS客户与他们的DomainTool客户经理联系,以了解如何开始使用它。
但是您最好快点:我们也很努力地增加对Iris的支持,将API调查为我们所有的集成,因此我们可以在您的代码之前到达您最喜欢的安全产品。请继续关注更多详细信息,如果我们首先到达那里,请务必尝试我们的建造内容,并就如何使其变得更好。
感谢您阅读本文!如果您想进行免费试用,请随时伸出援手 - 我们很想向您展示Iris调查的能力。有关虹膜丰富和调查API的更多信息,在8月21日上午10点/下午10点加入产品管理总监,蒂姆·赫尔明(Tim Helming)和我本人要了解团队如何利用IRIS API以及IRIS调查平台来创建非常有效的分析师工作流程。