为了您的方便,我们在下面附上了视频转录
受欢迎的。在本视频中,我们将看看Splunk和Splunk企业安全的DomainTools应用程序。Splunk的DomainTools应用程序利用我们的虹膜数据集,这是全面的,准确的和及时的。我们正在追踪超过3.3亿个活动域名,我们每天都在接收数十万个新注册或发现的域名。我们丰富的DNS和注册数据历史存储库允许我们连接恶意注册活动的点,并增强我们的域风险评分方法。
例如,当我们查看像owa-office3365[这样的域时。com,你会发现我们对这个领域实际上有四个风险评分。首先我们要看的是邻近度分数。邻近性让我们知道一个域与数据集中现有的已知坏域有多近。因此,我们可以探索域背后的托管基础设施或围绕域的注册细节。这两者都让我们知道这个域与Iris中现有的坏域非常接近。
我们的机器学习分类器本质上更具预测性。他们会查看域名字符串、年龄、基础设施和域名背后的注册细节等特征。例如,今天我们有很高的信心这个域名注册的目的是钓鱼,正如98所指出的。
虹膜丰富的API是专为大型事件装饰,这意味着我们可以丰富代理日志,DNS查询日志,或电子邮件域日志在您的SIEM。我们在找什么?例如年轻/新注册的域或新观察的域、风险分数高的域、特定的对手基础设施细节,如托管提供商或注册商、名称服务器、邮件服务器、SSL证书等。通过我们的虹膜调查UI进行标记的域名,或者攻击你所关注的关键字或品牌的有针对性的钓鱼域名。
我们可以从Splunkbase开始,在那里你可以找到Splunk和Splunk企业安全的DomainTools App。一旦它被安装在你的搜索头或搜索头集群上,你就可以把你的API密钥放进去,配置你的基础搜索,我们就可以开始丰富了。我们将首先查看我们的DomainTools威胁搜索仪表盘。这个仪表板是为了让我们快速查看过去24小时内我们在你的日志中发现的域名的详细信息。我们可以帮助标记出那些年轻的域名,所以如果一个域名是5天前注册的,并且正在给你的财务部门发邮件,我们会在这里找到它。新发现的域在你的日志里我们没有发现过的域。恶意软件、网络钓鱼或垃圾邮件的机器学习得分高的域名。
在查看风险域时,我们可以查看特定的注册商活动、特定的SSL证书详细信息。我们还可以标记出危险的域。危险域名是我们在DomainTools这里的混合分数。当涉及到危险域时,我们关注的是恶意软件或网络钓鱼机器学习分类器的风险评分阈值或邻近阈值。所以我们同时考虑这两种情况,所以你必须接近已知的危害,看起来像网络钓鱼或恶意软件领域。起始定义域owa-office3365[。com肯定符合这个条件。
我们可以在应用内部执行实时查找,这意味着我们可以对API执行实时查找,并直接将数据拉入Splunk,而不必离开。我们可以提取这些数据查看最近的注册细节,托管基础设施细节,我们可能获得的任何注册者细节。还有最新的风险评分。我们可以在这里快速创建一个查询,它允许我们查看正在填充数据的KV存储的其余部分,以查找相关的域。所以我们可以寻找像托管ISP提供商这样的东西,可能有一些特定的托管提供商我们想要关注。或者我们可以查看名称服务器,注册商,TLD空间,证书,任何在调查中真正可能有用的东西,但我们默认在KV存储中填充这些数据30天。
我们可以自动检测网络钓鱼,所以如果我们用PhishEye工具跟踪特定的关键词或品牌,并每天搜索相似的域名,我们可以直接将它们拉入Splunk。因此,我们可以在这些被欺骗的域名注册或发现时识别它们,我们可以生成这个列表,并每天自动将其输入Splunk,然后我们可以监视特定的钓鱼域名活动的日志。
我们可以通过使用虹膜调查UI将可操作的威胁情报带入Splunk。在那个UI中,我们可以突出显示并标记域。这些标记是我们帐户的本地标记,但它们将在API调用中流出。如果我们在虹膜UI中标记一个域然后我们在日志中捕获这个域6个月,8个月,10个月后,那个标记会通过所以我们可以用标记触发显著事件或抑制它们。说到这里,我们的企业安全选项卡允许我们管理和定制DomainTools提供的任何“开箱即用”相关性搜索。我们在著名的事件框架内的集成允许我们直接弹出到我们的Iris调查平台或直接到实时查找页面,如果我们想留在Splunk内部,但无论哪种方式,我们都可以在特定的领域得到更深入的研究。
Splunk的DomainTools App允许我们将丰富转化为威胁情报,允许我们了解我们在日志中发现的域名的风险因素,允许我们在日志中精确地针对域名所有权托管提供商进行威胁搜索,它允许我们显示有意义的警报并过滤掉噪音。它允许我们根据可能的恶意使用对域名进行分类。
感谢您的宝贵时间,如有任何问题,请与我们联系sales@domaintools.com