2018年,我们宣布了我们的域风险评分,由机器学习分类器提供支持,以预测和识别我们的数据显示可能注册的域名恶意.有效利用领域风险评分的关键挑战之一是确定那些在任何给定时间最可能构成威胁的领域,以便组织能够集中精力进行阻止和检测。为了支持这个用例,我们自豪地宣布域活动表这是一个可预测的、按优先顺序排列的、易于使用的屏蔽列表,它标识了活跃的、高风险的领域——使组织能够主动防范相关的、新出现的威胁。
域名热列表中包含的所有域名都是高风险的,且目前处于活跃状态;换句话说,操作.该列表为客户提供了一组相对较小、易于管理、集中的域,他们可以使用这些域跟踪、监视和警告他们网络上活跃的恶意域。
什么是域名热列表?
域热列表只包含满足两个基本条件的域:
- 该域在我们的域风险评分中获得了高分。具体来说,在我们的一个钓鱼、恶意软件或垃圾邮件分类器上得分90+,或接近得分70+
- 该域名最近在网上活跃。例如,域在前一天观察到被动DNS (pDNS)活动。
Domain Hotlist本身包含域名和DomainTools的风险评分组件得分(钓鱼、恶意软件、垃圾邮件和邻近性)。该列表每天生成,每天提供活动域的最新得分。此外,域名在列表中是按顺序排列的,最受关注的域名位于顶部。
因为列表是由主动遥测技术(如pDNS)组成的,所以Hotlist上的域的组成和数量可能每天都在变化。鉴于此,我们最初的预期是,该列表每次生成时将包含大约100万个域名。
使用域活动表
因为Domain Hotlist是一个相对较小的列表,主要关注最近观察到的活动域,它为在组织中使用开辟了新的可能性。
主动阻塞和规则驱动的动作
建立基于操作域识别的抢占式阻塞和规则驱动的操作
Domain Hotlist根据pDNS活动和基于近二十年的域和DNS专业知识构建的预测风险评分为组织提供了一个易于获取的屏蔽列表,因此组织可以通知防火墙或DNS屏蔽规则进行主动屏蔽。现有的系统或工具可以根据预先建立的基于特定Risk Score值阈值的规则对列表中出现的域采取行动。
日志文件浓缩
自动化充实以通知您的工作流程
利用域Hotlist作为潜在恶意域的优先级列表来丰富您的日志文件。主动识别妥协指标(ioc),并采取行动完成补救工作流程。
数据增加
利用可操作的数据来交付见解
通过Domain Hotlist扩展您的现有数据集,以支持优先调查和事件响应流程,利用DomainTools数据的广度和质量、细致的网络安全理解和机器学习专业知识。
活动跟踪
监视攻击进展
作为恶意意图的主要指标,当检测到列表中的某个域时,积极跟踪与该域相关的活动,以观察行为并确定目标。
滥用检测
识别注册有恶意意图的域名
服务提供商可以使用Hotlist来提供一个早期的、独立的、针对自己基础设施上的欺诈活动的指标,从而更快地发现滥用行为。
