概述
Domaintools弹性应用程序使用户能够通过在弹性平台中引入Domaintools Intelligence数据和分析来自动化事件响应过程。
我们的用户可以完全自动化其事件剧本或对基于域的工件执行临时操作,以获得在线上下文智能。
该应用程序利用IRIS研究API以使IBM弹性内部的数据富集自动化。
关键好处
- 通过利用弹性规则和工作流程来识别危险域工件,自动化事件处理以分类为分类事件
- 通过用Domaintoos智能丰富按需的域工件来获得背景
- 避免上下文切换并保留事件中数据词中的DimainTools富集数据
- 通过利用DomainTools风险评分分析来处理自动化事件处理
- 利用Domaintools Iris调查标签以识别恶意域名
- 通过使用DomainTols枢轴分析自动化连接的基础架构发现,发现未知的基础架构
部署指南
先决条件
- 活跃的Domaintools IRIS调查API密钥
- IBM弹性> = V33.0.5112
- Python 2.7
- 运行弹性电路的集成服务器> = = v31.0.0
- DomainTools从App Exchange安装的弹性应用程序
安装步骤
- 复制FN_DOMAINTOOLS-1。
- 解开包裹
$ unzip fn_domaintools-1.x.x.zip
- 安装软件包
$ pip安装fn_domaintools-1.x.x.tar.gz
- 导出到服务器
$弹性电路自定义
- 将配置导入您的app.config文件:
$弹性电路config -u
- 打开配置文件,滚动到底部并添加DomainTools API键
$ nano〜/。resilient/app.config
config 必需的 描述 dt_api_user_name 是的 Domaintools API用户名 dt_api_key 是的 DomainTools API密钥 - 保存并关闭app.config文件
- 运行弹性电路
$弹性电路运行
- 登录到弹性设备。转到自定义设置>布局>事件选项卡
为了坚持/查看DomainTools的富集数据,您可以将富集结果存储在弹性数据词中。- 创建一个名为“ Domaintools”的新事件选项卡。
- 然后将DimainTools从数据表列下到页面中间产生。
- 点击“保存”按钮。
- 验证设置
Domaintools应用程序包含5个功能,4个工作流,4个规则和1个数据表,可自动化IBM弹性内的功能。登录到弹性设备,并在您的弹性实例中验证以下设置:数据词
文物
确保您的环境中存在DNS名称伪像。如果没有,请创建一个。
Domaintools消息队列
功能
工作流程
脚本
自定义DomainTools应用程序
应用程序配置设置:
[fn_domaintools]
dt_api_user_name =
dt_api_key =
功能:
DomainTools:带有虹膜的剖面域调查
描述:
此功能使用IRIS研究API,域名作为参数,以检索弹性内部的所有域智能数据。
引用的工作流程:
从工作流中调用功能的示例
输入:
| 输入名称 | 类型 | 必需的 | 描述 |
|---|---|---|---|
| dt_domain_name | 细绳 | 是的 | “ DNS名称”类型的域工件 |
输出:
| 输出名称 | 类型 | 必需的 | 描述 |
|---|---|---|---|
| dt_iris_data | JSON字符串 | 不 | Domaintoos iris resultset的JSON字符串 |
预处理脚本:
inputs.dt_domain_name = artifact.value
后进程脚本:
indist.Addnote('执行{0}'。格式的DomainTools虹膜概况(结果['domain']))
Invist.properties.domaintoolsdata = true
Domaintools:格式虹膜研究数据
描述:
格式化IRIS的结果研究了API查询以进行下游消费和处理。它还包括使用后处理脚本将数据写入DomainTools DataTable内部弹性的步骤。
引用的工作流程:
从工作流中调用功能的示例
输入:
| 输入名称 | 类型 | 必需的 | 描述 |
|---|---|---|---|
| ISCAST_ID | 数字 | 是的 | 弹性事件ID |
| dt_format_options | 爱 | 是的 | LOV包括 - 分析,身份,注册,托管 |
| dt_format_type | 爱 | 是的 | 默认为“ json” |
| dt_iris_data_in | JSON字符串 | 是的 | 包含虹膜结果集的JSON字符串 |
预处理脚本:
inputs.incident_id = indist.id
inputs.dt_iris_data_in = workflow.properties.dt_iris_data ['dt_iris_data']
后处理脚本:
dt_row = advist.Addrow(“ Domaintools_results”)
dt_row ['domain_name'] =结果[“域名”]dt_row ['drecoreval_date'] =结果[“检索日期”]
dt_row ['age'] =结果[“年龄”]
dt_row ['tubrical_risk_score'] =结果[“总风险得分”]
dt_row ['proximity_risk_score'] =结果[“ proximity风险得分”]
dt_row ['thrant_profile_risk_score'] =结果[“威胁性配置文件风险评分”]dt_row ['weblot_response_code'] =结果[“网站响应代码”]
dt_row ['ip_country_code'] =结果[“ IP Country Code”]
dt_row ['Alexa'] =结果[“ Alexa”]dt_row ['registrant_name'] =结果[“ registrant name”]
dt_row ['registrant_org'] =结果[“ registrant org”]
dt_row ['registrant_contact'] =结果[“注册人联系”]
dt_row ['soa_email'] =结果[“ SOA电子邮件”]
dt_row ['ssl_certificate_email'] =结果[“ SSL证书电子邮件”]
dt_row ['admin_contact'] =结果[“ admin Contact”]
dt_row ['technology_contact'] =结果[“技术联系”]
dt_row ['billing_contact'] =结果[“计费联系”]
dt_row ['email_domains'] =结果[“电子邮件域”]
dt_row ['suffer_whois_emails'] =结果[“其他WHOIS电子邮件”]dt_row ['domain_registrar'] =结果[“ domain Registrar”]
dt_row ['registrar_status'] =结果[“注册表状态”]
dt_row ['domain_status'] =结果[“域状态”]
dt_row ['create_date'] =结果[“创建日期”]
dt_row ['expiration_date'] =结果[“到期日期”]dt_row ['ip_addresses'] =结果[“ IP地址”]
dt_row ['mail_servers'] =结果[“邮件服务器”]
dt_row ['spf_record'] =结果[“ spf记录”]
dt_row ['name_servers'] =结果[“名称服务器”]
dt_row ['ssl_certificate'] =结果[“ SSL证书”]
dt_row ['redirects_to'] =结果[“重定向到”]
dt_row ['google_adsense_tracking_code'] =结果[“ Google Adsense跟踪代码”]
dt_row ['google_analytics_tracking_code'] =结果[“ Google Analytics Tracking Code”]indist.addnote('添加{0}到Domaintools Table'.format(结果[“ domain name”]))
如果没有域智能可用于域工件,则执行以下替代脚本:
advist.addnote(“找不到域”)
Dimaintools:发现可行的枢轴
描述:
该功能有助于根据可配置的指导枢轴值发现特定域伪像的所有可用枢轴(发现点)
引用的工作流程:
从工作流中调用功能的示例
输入:
| 输入名称 | 类型 | 必需的 | 描述 |
|---|---|---|---|
| dt_iris_data_in | JSON字符串 | 不 | Domaintoos iris resultset的JSON字符串 |
| dt_pivot_count | 数字 | 是的 | 默认设置为“ 300” 定义DomainTools指导枢轴的阈值值,这是一种有助于发现连接基础架构的分析。 |
输出:
| 输出名称 | 类型 | 必需的 | 描述 |
|---|---|---|---|
| dt_pivot_data | 数字 | 是的 | 该域的所有可用枢轴的列表 |
预处理脚本:
inputs.dt_iris_data_in = workflow.properties.dt_iris_data ['dt_iris_data']
Domaintools:执行枢轴
描述:
执行枢轴函数,从“ Discover Actionitiation Pivots”函数作为输入中获取PIVOT_DATA RESTIRSET,然后执行反向查找以识别任何关联的域。这使用户能够发现与域关联的连接基础架构。
引用的工作流程:
从工作流中调用功能的示例
输入:
| 输入名称 | 类型 | 必需的 | 描述 |
|---|---|---|---|
| dt_pivot_value | 细绳 | 是的 | 包含域属性字段的特定JSON属性 |
| dt_pivot_type | 爱 | 是的 | 值列表可以是以下之一: ip, email, email_domain, nameserver_hsot, nameserver_domain, nameserver_ip, registrar, registrant, registrant_orf, mailserver_hsot, mailserver_domain, mailserver_ip, redirect_domain, ssl_dhash, ssl_subject, ssl_email, ssl_org, google_analytics, adsense |
| dt_data_updated_after | 日期 | 不 | 参数后更新日期以进一步过滤查找 |
| dt_created_date | 日期 | 不 | 创建日期参数以进一步过滤查找 |
后处理脚本:
advist.Addnote(“从SSL哈希发现的新域 - 虹膜枢轴函数”)
对于k,枚举中的域(结果['Pivots']):
indist.Addnote('DNS名称,{0},来自iris'.format(domain)的枢轴)
在上面的模板工作流程中,我们在ssl_hash,ip_address和电子邮件字段上旋转以演示一个示例。您可以将工作流程进一步扩展到下面dt_pivot_type下列出的19个属性中的任何一个。
Domaintools应用程序功能
DomainTools应用程序通过一组预包装的弹性功能和工作流提供了这些功能。下面的详细信息是一旦配置了应用程序,在您的实例中执行工作流的步骤。用户可以并且应该进一步自定义这些工作流程以满足组织的事件响应流程。
工件的域富集
该工作流程使弹性用户能够在与Core Domaintools Iris一起研究数据中执行域工件的临时丰富。该集成带来了一个域的虹膜数据,包括WHOIS,DomainTools分析,例如风险分数,威胁性概况和与SSL,ASN Info等域相关的域的工件。
工作流名称:DomainTools:带有虹膜的剖面域调查
调用工作流程的步骤:
- 从IBM弹性界面中,选择一个事件进行调查
- 选择“工件”选项卡以查看与事件相关的工件
- 如果不存在DNS类型的工件,则可以在事件中添加新的工件
有关如何使用事件接口的详细信息,请参阅IBM弹性文档。
- 单击工件的汉堡菜单,然后选择Workflow“” DT:调查虹膜调查的配置域”
- 检查笔记部分以查看富集的结果
在数据台上持续富集数据
该功能提供了在事件内的数据表中持续保留富集数据的能力。用户可以查看事件生命的富集数据,并共同关联共同海峡的多个域工件。
Domaintools表还提供了一种方法,可以方便地审查该事件的所有工件的完整Domaintools Intelligence。
访问DomainTools选项卡的步骤
- 按照上面详细介绍的步骤使用“ DT:配置域调查”来丰富特定的人工制品。
- 选择“ Domaintools”选项卡,以查看工件的域智能
工作流以识别高风险域
在Domaintools风险评分上旋转的预先构建的工作流程,以评估特定领域是否有风险。工作流模板还提供了一种配置风险阈值的方法(默认情况下为90),可以根据组织的流程进行进一步定制。
如果被视为有风险,则该工作流将附加到事件记录的注释,指出风险评分和域名。
工作流名称:Domaintools:检查域风险评分
调用工作流程的步骤:
- 请按照上面详细介绍的步骤找到DNS名称类型的工件
- 单击工件的汉堡菜单,然后选择工作流程“ DT:域风险分数”
- 检查笔记部分以查看富集的结果
工作流程以发现恶意基础架构
该工作流程显示了如何在调查中利用DomainTools引导的枢轴。工作流模板还允许用户根据组织的安全姿势配置连接枢轴的阈值(默认值设置为300个域)。
工作流可以自动化查找关联的IP,SSL哈希和注册人电子邮件地址的能力,如果可用的话,可以逆转这些工件,以检索与之相关的域。如果用户希望在域的其他属性上转移,他可以进一步扩展工作流程以添加其他决策步骤并方便地实现这一目标。
此工作流程的默认操作增加了事件注释上的发现,但是用户可以方便地添加其自定义工作流或下游系统以进一步扩展这些系统。
工作流名称:Domaintools:与IRIS一起调查的自动枢轴
调用工作流程的步骤:
- 请按照上面详细介绍的步骤找到DNS名称类型的工件
- 单击工件的汉堡菜单,然后选择工作流程“’DT:自动枢轴与虹膜调查”
- 检查笔记部分以查看富集的结果
在标记域中枢转的工作流程
此工作流模板允许自动检测域工具是否已被IRIS内部的威胁调查资源标记为使用特定标签。并基于标签值,使事件响应团队能够进行自适应响应。
用户可以进一步自定义此工作流程以处理标签列表,并根据不同的标签采取不同的操作。请参阅IBM弹性工作流程指南,以根据您的需求自定义脚本/操作。
工作流名称:DomainTools:检查域标签模板
调用工作流程的步骤:
- 请按照上面详细介绍的步骤找到DNS名称类型的工件
- 单击工件的汉堡菜单,然后选择工作流程“’DT:检查标记的域”
- 检查笔记部分以查看富集的结果