简介
自从DomainTools开始与SOC从业者合作以来(这可以追溯到许多年前),我们一直对分析师和猎人在研究我们的数据集时所考虑的目标非常感兴趣。我们一直在寻找增强您在SOC中的能力的方法,无论是通过加强Iris和我们的api中的可用数据,还是通过支持和增强特定的调查活动(这是Iris UI本身存在的理由)。当谈到SOC的工作流程时,自动化几乎总是对话的一部分。
我们看到越来越多的人在使用安全编排、自动化和响应(SOAR)技术,无论是在现成的商业平台中,还是作为一系列定制脚本,或者介于两者之间的某个地方。这个由三部分组成的系列博客将深入探讨如何使用SOAR剧本来支持我们的用户经常在Iris中进行的各种基础结构搜索和探索,以帮助您在不增加更多资源(或工作日中的时间)的情况下完成更多任务。在这一期中,我们将介绍一些关于领域丰富和对手基础设施搜索的方向,然后我们将看看一个SOAR剧本可以为直接的流程和用例提供什么。在第2部分和第3部分中,我们将研究更复杂的情况,其中SOAR剧本和人工分析师进行了转换;具体来说,我们将看看剧本在哪里结束,分析师将进入Iris进行更深入的研究。第三部分将预览一个新工具,我们将开放该工具的源代码,以帮助分析师理解看似不透明的数据集。
对手狩猎基础知识
首先,关于这个主题的更多信息,我鼓励您查看这个早期的博客系列该网站深入研究了如何使用dns相关数据来防范攻击;这个博客通过乔Slowik关于指示符如何作为分析的复合对象,以及另一个通过检查基础设施推断对手的意图。这种类型的狩猎背后的想法是获得更好的上下文在您的日志或事件中看到的域,通过回答问题,如:
- 这个域是什么时候创建的?
- 它的风险值高吗?
- 这是一个更大的运动的一部分吗?
- 它是否与同样代表威胁的其他域或IP地址有关?
- 控制它的实体的本质是什么?
DomainTools提供的概要信息,在我们的api或Iris UI中,帮助分析师快速回答许多这些问题。第三个和第四个问题是关于该域名是否属于一个更大的活动的一部分,这是推动调查的原因,分析人员“转向”IP地址、名称服务器或注册细节等属性,以找到可能与最初标记的域处于相同控制之下的其他域(及其相关的托管基础设施)。构建这幅图对分析师来说有两个关键作用:
- 为第一个看到的领域提供更好的背景,可能暴露一个更大的活动
- 提供其他搜索项(域、ip),以确定大型活动是否涉及受保护环境
基于所了解到的信息,分析人员可以就如何处理该域做出更明智的决定,从忽略该域到阻止访问该域的流量,再到与信任组或其他威胁情报合作伙伴共享有关该域的信息。乐动首页简单的Whois和NS查找不能提供足够的必要细节来驱动良好的分析。
翱翔在何处?
SOAR剧本不能取代人工分析师,但它们可以简化为分析和处理指标“设置表格”的操作。例如,一个简单的SOAR剧本可以执行域配置文件信息的查找,并提供匹配预定标准的域列表以供进一步检查。许多soc的政策是不信任新创建的域;一些公司将其与获取风险评分结合起来,这样所有收到流量的年轻和/或风险域都被标记出来。例如,如果您是Splunk Phantom用户,您可以使用这个剧本执行风险评分查找。如果你是Demisto用户,这个剧本方法自动丰富域虹膜调查API.
简单的路径:丰富和基本狩猎的剧本
丰富受保护环境的领域数据是一项基础活动;这是几乎每个商店都以这样或那样的形式做的事情,作为DomainTools用户,很可能您正在丰富您的环境中以域或IP地址的形式看到的指示符。当您丰富一个域时,您将向原始指示符添加信息—这些信息可以帮助您更好地理解该域是关于什么的,以及当您观察到到达该目的地的流量时需要做什么(如果有的话)。的虹膜丰富API允许您附加关于任何域的注册、托管和内容数据。对于许多用户来说,这种充实是在安全信息和事件管理(SIEM)工具中标记的任何域的自动基础上进行的。这种丰富的例子包括:
- 风险:DomainTools风险评分为域
- 注册:Whois数据,包括创建和到期日期,注册人身份,以及联系/位置信息。在后gdpr时代,大部分信息都是私有的,但在大多数情况下,至少注册组织是可用的,创建日期对于希望查看新创建域的连接的soc来说是有价值的。
- 托管:基于DNS的信息,如IP地址、托管提供者名称、自治系统编号(ASN)、IP位置、邮件交换器(MX)记录,以及其他DNS记录类型,如TXT、CNAME等。
- 内容:SSL证书数据,包括散列、SSL组织等;跟踪代码,如谷歌Analytics或AdSense;截图
有些商店会使用大部分数据点,而有些商店只依赖几个关键数据点(如创建日期、ip和名称服务器)。
设置表
整个讨论的重点是丰富域,以帮助识别恶意基础设施。但是哪些域应该是查找的候选域呢?在大型组织中,您的通信量可能会排除自动丰富接收通信量的每个域(或解析器上的DNS查找)的可能性。因此,你可能有必要制定一个剧本,为丰富和狩猎“摆好桌子”。它可能看起来像这样:
- 聚合所有具有可用域名的日志源(稍后详细介绍)
- 规范化日志并提取域名(在SLD级别,例如“example.com”)
- 将这些写入一个文件
- 查找所有域名Alexa前几百万
- 丢弃前百万的域名
- 将剩余的域写入“候选域”文件
这会给你一个不属于互联网上最常见的域名列表。总的来说,它将在大多数年轻的域名中进行选择,因为年轻的域名不太可能比老的域名进入前100万。同样,它将倾向于选择风险较高的域名,因为恶意域名往往在达到前100万之前就被标记并列入屏蔽列表。当然,也有例外,但这是许多soc喜欢使用的第一阶段过滤器。
就像在第一个剧本草图中一样,第一步写起来很简单,但在现实生活中要完成它就更具挑战性了。这博客关于日志中的域名来源是一个很好的开始,并且这一个,在Windows DNS上,还包括这个过程如何工作的示意图:
从概念上讲,类似的过程适用于域数据的其他来源,如web代理、SMTP服务器、端点安全遥测等。关键是包含域名的资源。
充实,门槛化,准备下一步
一个简单的充实和阈值设定的剧本可以是这样的:
- 摄取要查找的域候选列表(可能由前面的剧本生成)
- 查看领域年龄和风险评分
- 年龄:小于
天(你选),旗 - 风险:对于有以上风险评分的领域
(也可配置),国旗
虽然这个剧本没有自动化任何响应操作,但它确实有助于将分析人员的注意力集中在可能违反组织针对年轻或高风险域的政策的域上。根据您的策略和实践,您在本手册的第3步和第4步中设置的阈值可以设置进一步的自动化步骤,如生成检测或阻塞规则。例如,您可以选择创建一个脚本,为超出所选年龄/风险阈值的任何域创建Snort签名;Snort规则可以在许多不同的平台上用于检测和/或阻塞。
暴露大活动
在描述对手基础设施狩猎的部分中,我们看到了丰富的价值的一部分是它给我们机会搞清楚一个更大的战役,其中最初看到的领域只是其中的一部分。我们如何通过剧本来实现这一点呢?这就是虹膜调查API发挥作用了。它最吸引人的特性之一是,它提供对任何“数据透视表”字段(即一个字段,如IP地址、电子邮件地址或SSL证书)的计数,该字段与其他域相连。下面是rich API响应的IP地址部分:
注意这个响应中的单词“计数”:有问题的IP地址的计数为3,因此DomainTools Iris数据集在该IP上看到了3个域。ASN的计数为101,这意味着有101个域共享该ASN。
这些计数对于帮助您确定哪些基础设施可能值得仔细研究非常有价值。如果计数太低(例如1),它就不有趣了:只有一个域有这个值,而且它是您已经在查看的域。如果计数过高(例如10,000),那么就很难推断出这些域之间的任何有意义的联系,而且这对分析师来说也不是一个特别容易处理的数字。但是,当数量处于少数到几百个域的最佳位置时,这些域之间的联系更有可能是非巧合的,要检查的域的数量也不是不合理的。的虹膜引导枢轴攻略for Phantom识别可能连接到感兴趣的域的基础设施。
在本系列的下一篇文章中,我们将研究分析人员在何处从剧本中接管工作,例如Iris Guided Pivots剧本何时交付一组基础设施,这些基础设施可以表示连接到由丰富/阈值剧本标记的领域的活动。您也可以根据Iris可以为您提供的大量数据,对工作流的方向有自己的想法。
探索快乐!