随着2019年的推出DomainTools MISP插件,我们在免费的开源威胁共享平台中提供DNS威胁调查。我们的丰富数据集继续为非商业威胁情报平台内的妥协指标(IOC)提供上下文丰富,使我们的用户能够查找未知的恶意基础设施。
今天我们很高兴地宣布DomainTools虹膜集成TheHive和Cortex.通过这种集成,我们扩展了在安全运营中心(soc)内自动化事件响应(IR)和编排功能方面的能力。
首先,什么是TheHive和Cortex?
TheHive是一个可扩展的开源解决方案,为soc、网络安全事件响应团队(csirt)、计算机应急响应团队(cert)和任何信息安全从业者构建,并允许他们有效地调查安全事件。跨事件管理阶段和功能的协作是该平台的核心。可以手动或自动地为每个调查创建案例,使用模板,这些模板可以根据调查类型而有所不同。
皮质是一个独立的分析引擎,是TheHive的完美伴侣。TheHive通过REST API与Cortex进行原生对话,以执行可观测数据的快速评估。
这两个平台结合在一起可以大大节省时间,并省去一些繁琐的相关任务。然后,分析人员可以使用Analyze功能,您可以添加并调查与案例相关的单个或数千个观察数据。最后,关联TLP和源标记的良好旧实践也在平台中进行。
作为TheHive项目在过去的3年里,我们注意到它已经被我们的客户群采纳为一个可行的企业SOC/CSIRT/CERT工具。当我们的用户开始在TheHive中操作他们的事件管理流程时,他们很快就发现在调查事件时需要DNS威胁上下文。虽然许多用户已经可以访问我们的情报数据集,但分析师通常很少或有限地访问这些应用程序。对于一些能够访问这些上游系统的人来说,他们感到在多个工具集中继续调查和分类的负担。
解决方案是显而易见的——用DomainTools Iris智能大规模丰富TheHive中的可观察数据,并阐述事件管理功能的价值。通过这种集成,我们带来了可操作的真相以及DomainTools分析、领域风险评分和威胁证据等形式的证据。所有这些都利用了TheHive中功能强大的点击界面。
在我深入研究这种集成的特性、机制或细微差别之前,我想对我的队友表示感谢,TheHive项目成员,最重要的是我们的客户,他们帮助实现了集成用例。
可观测的浓缩
DomainTools虹膜分析器是用Investigate API构建的,它为一个域带来虹膜数据,包括Whois,域风险评分,以及与域相关的工件,如SSL, ASN信息等。
在丰富可观察数据的同时,我们将丰富数据持久化在事件中的可观察报告中。这使用户能够方便地查看丰富的数据集,包括DomainTools引导的枢轴,以帮助进一步调查。
由组织配置的Guided Pivots低于阈值限制的工件将以可视化的方式突出显示,以方便使用。用户可以添加这些工件作为潜在的枢轴/反转点。
这使分析人员能够在不跨多个工具切换上下文的情况下调查事件。此外,事件内部的丰富数据形成了方便报告和协调的合格工具。当分析师觉得需要深入DomainTools调查平台时,他们可以方便地从可观察报告中启动它,而不会丢失调查中的上下文。
发现连接的基础设施
但是,如果仅仅分析DNS工件并不能为您提供足够的洞察力呢?如果你能掀开帷幕,看看与可观察域相连的是什么。瞧,DomainTools Iris pivot分析器将允许TheHive用户实现这一点。使用pivot action作为分析器,用户可以基于任何相关的ip、SSL散列和注册电子邮件地址,并检索相关的ioc。
如果你要抛硬币决定你应该以众多属性中的哪一个为中心,你可以把它留给自动点唱机。我们带来了我们专有的引导数据透视分析,这将指导您的调查。导向性支点计数通常会自己创建一个调查路径,甚至在你决定支点之前。
我有没有告诉过你,在可观察充实期间,我们已经为你突出(标记)了可行的引导轴心?
恭喜你,你刚刚发现了一组全新的IOCs,否则它们将无法被检测到。再加上一些DomainTools分析,如年龄,领域风险评分等,作为过滤器,你可能已经缩小了一个非常目标的IOCs列表,可以导入到你用来巩固情报和映射取证的平台中。
现在你可能会想,这似乎太容易了,不可能是真的。我说,不用谢。
如果你是MISP用户,您还可以通过链接两个实例来自动创建MISP事件的用例。这是古老的开源社区的魔力,所有的投资成员都做出了贡献。如果您需要实际操作,我们很乐意向您展示功能演示并分享我们的技术诀窍,以便您的团队可以快速运行。
图:与TheHive双向同步后发生的MISP事件
对于那些还没有机会玩TheHive或Cortex生态系统的人,我强烈推荐它。如果你想要TheHive和Cortex生态系统的企业支持,你可以联系我们的创始团队StrangeBee.
对于现有的DomainTools Iris客户,Iris api都是您平台访问的一部分,所以没有理由不去尝试一下。我们的分析仪可以从TheHive Github repo下载。
毕竟,它是免费的,你最多只能在一个慵懒的春天下午花上几个小时。
更严肃一点,但基于我们的核心理念,我们继续相信并民主化DNS威胁调查。DomainTools Iris用于TheHive集成,证明事件响应编排不仅仅可以在昂贵的商业产品中实现。而且,现在我们可以利用免费和开源的解决方案来防御网络攻击。乐动体育网址通过MISP、TheHive和Cortex与DomainTools域和DNS基础设施智能集成,我们可以共同抵御大规模的攻击,并帮助使互联网成为一个更安全的地方。
