弹性的DomainTools应用程序

概述

用于Elastic的DomainTools App是一种开箱即用的解决方案，可在Elastic内直接访问DomainTools的业界领先的威胁情报数据。此外，DomainTools App显著补充了Elastic SIEM App的功能，尽管它不依赖于SEIM应用．有弹性的客户正在使用麋鹿(ElasticSearch, LogStash, Kibana)堆栈的安全事件响应和威胁搜索可以使用新的应用程序来增强其操作和分析的价值。

使用此应用程序的弹性用户将受益于:

• 增加了DNS事件的可见性和主动标记风险域名的能力
• 使用DomainTools分析精确定位威胁搜索活动
• 弹性索引中领域智能的实时丰富
• 从Kibana用户界面内部的Adhoc域调查
• 在Elastic的DomainTools虹膜中标记域的标记

部署DomainTools应用

先决条件

弹性版本

该应用程序已在以下弹性版本中成功验证:

• 弹性是7.5.2

DomainTools API密匙

您将需要DomainTools企业API用户名和API密钥来完成应用程序设置。DomainTools通常通过为组织中的主要联络点创建帐户来提供获取API凭证的访问。

你的API帐户必须访问以下列出的API端点:

1. 虹膜调查
2. 虹膜丰富

如果不能访问这些端点，就不能配置应用程序。如果您需要获得新的API密钥来评估应用程序，请通过电子邮件Sales@DomainTools.com与我们联系，我们将帮助您。

下载DomainTools App

DomainTools App有多个组件，每个组件的最新版本可以从以下位置下载:

• Github -https://github.com/DomainTools/elastic-integration
• 码头工人中心-https://hub.docker.com/r/domaintools/elastic_integration

弹性通用模式(ECS)

该DomainTools应用程序利用弹性通用模式(ECS)对于可扩展性。ECS是一个开源规范，在Elastic用户社区的支持下开发的。ECS定义了在Elasticsearch中存储事件数据时使用的一组公共字段，例如日志和度量。

目前，该应用程序不支持自定义数据模型。

LogSources

DomainTools App从您的代理日志、DNS日志或类似的包含域名的数据源中提取域名。要实现这一点，首先需要识别包含url (web链接)或表示从您的网络到公共Internet通信的主机名的数据源。在大多数情况下，web代理日志提供了这些域的最佳可见性。然后可以自定义LogStash配置，以监视应用程序中的特定日志源。

我们还建议您查看特定版本的发布说明，以了解引入的更改。如果您目前拥有较旧版本的DomainTools App并打算升级，则需要先卸载当前安装的组件。

请联系DomainTools支持，以协助安装/升级您的应用程序。

部署场景

DomainTools App支持以下部署模型，满足最常见的企业设置。该应用程序被设计成最好安装在docker容器中以进行隔离。

你可以找到额外的参考文献在docker上运行Elastic。

安装步骤

1. 安装后端服务
   
   • 开发人员友好的注释记录在我们的存储库中https://hub.docker.com/r/domaintools/elastic_integration
   • 主机上运行服务容器所需的应用程序:
     
     • 码头工人
     • 码头工人组成
   • 您希望在主机上安装服务
     

     /bin/bash -c
     https://github.com/DomainTools/elastic-integration/raw/main/install.sh)”

   • 您需要确保后端服务的.env文件指向正确的elasticsearch主机并具有正确的凭据。您可以在下面确定的LOC中进行更改
     https://github.com/DomainTools/elastic-integration/blob/main/.env.example#L2
   • 记录服务URL(主机IP地址和端口)
     
     • 服务URL是要在其上安装此服务的实例的IP地址。您使用公共IP还是私有IP将取决于您的Kibana和Elastic实例是否可以在私有IP上命中该实例。
     • 默认端口:8000
       
       1. 如果有另一个服务使用8000，那么可以在中指定所需的端口https://github.com/DomainTools/elastic-integration/blob/main/docker-compose.customer.yml#L7
       2. 记录端口
2. 安装Kibana插件
   
   • 在Kibana主机上作为Kibana用户
   • 假设kibana-plugin二进制文件安装在/usr/share/kibana/bin/kibana-plugin
     

     /usr/share/kibana/bin/kibana-plugin安装
     https://github.com/DomainTools/elastic-integration/raw/main/domaintools7.5.2-1.0.6.zip

   • 在配置后端服务时，你需要确保Kibana插件通过识别的服务URL和端口指向后端服务主机(见上面)
     
     • 这可以通过导航到DomainTools App→设置→“配置App”来完成。
     • App默认为http://localhost:8000。更改为特定于环境的值。

       

3. 配置Logstash
   Logstash需要配置用于丰富DNS事件的日志源。下面是关于如何配置Logstash的几个示例
   
   • https://github.com/DomainTools/elastic-integration/blob/main/conf/logstash/logstash.conf
   • https://github.com/DomainTools/elastic-integration/blob/main/conf/logstash/logstash2.conf

配置步骤

1. 配置API
   
   • 在Kibana下，进入“DomainTools App -> Settings -> Configure API”
   • 输入您的API用户名和密钥
   • 测试连接
     

     

2. 配置浓缩
   
   • 在Kibana中，进入“DomainTools App -> Settings -> Configure App”
   • 如果您没有配置LogStash，请在进一步操作之前配置LogStash。
   • 检查默认设置，并对浓缩计划进行更改
     

     

   • 调整DomainTools得分、年轻域和引导枢轴的阈值。为了您的方便，该应用程序已经填充了默认值。这些值用于在仪表板上标记有风险的域。
     

     

3. 配置Allowlist
   
   • 在Kibana中，进入“DomainTools App -> Settings -> Configure Allowlist”
   • 在SLD中添加最多100个域的连接列表。TLD格式(例如domaintools.com)
     

     

关键应用程序功能

英特尔威胁仪表板

此指示板旨在帮助组织对其网络上观察到的域所呈现的风险进行快速的态势感知。该仪表板还有助于指导团队在其SOC工作流中有效利用DomainTools数据，通过下钻暴露底层事件。

该仪表板由DomainTools风险评分(DomainTools Risk Score)提供支持，这是一种专有的评分算法，可以在域名武器化之前主动识别可能注册有恶意意图的域名。该技术基于机器学习算法，应用于DomainTools对域名特征和基础设施特征无与伦比的覆盖。

域配置文件

域配置文件页面允许Elastic用户从Kibana内部执行对单个域可观察对象的临时查找。广泛的虹膜智能数据集与虹膜导向轴心(连接的基础设施)的附加上下文一起呈现给用户

这可以进一步推进你的调查。

最后，应用程序还从您的环境中发现与查询域匹配的任何历史事件。

维护App内的可信域

用户现在可以在DomainTools App中维护一个可信域列表。在威胁英特尔仪表板中检测潜在恶意域时，该列表中的所有域都将被抑制。