DomainTools应用程序Splunk和Splunk企业安全
为了方便大家阅读,我们在下面附上了视频
对数据的信心
受欢迎的。在这个视频中,我们将看看Splunk和Splunk企业安全的DomainTools应用程序。DomainTools应用程序的Splunk利用我们的虹膜数据集全面,准确和及时。我们正在跟踪超过3.3亿个活跃域名,我们每天都在收集数十万个新注册或发现的域名。我们丰富的DNS和注册数据历史存储库使我们能够连接恶意注册活动的点,并为我们的域名风险评分方法提供支持。
例如,当我们查看像owa-office3365[这样的域。com,你会发现我们在这个领域有四个风险评分。首先我们要看的是邻近度得分。接近度让我们知道一个域与我们数据集中现有的已知坏域的距离有多近。因此,我们可以探索域名背后的托管基础设施或域名周围的注册细节。这些都让我们知道这个域名与虹膜中现有的坏域名非常接近。
我们的机器学习分类器本质上更具预测性。他们会查看域名字符串、年龄、基础设施和域名背后的注册细节等特征。例如,今天我们有很高的信心,该域名注册的目的是98指出的网络钓鱼。
丰富和狩猎与虹膜数据集
虹膜丰富API是专为大规模事件装饰,这意味着我们可以丰富代理日志,DNS查询日志,或SIEM中的电子邮件域日志。我们在找什么?比如年轻/新注册的域名或新观察到的域名,风险分数高的域名,特定的对手基础设施细节,如托管提供商或注册商,名称服务器,邮件服务器,SSL证书等等。通过虹膜调查UI标记的域名,或攻击您正在关注的关键字或品牌的目标钓鱼域名。
在哪里找到Splunk和Splunk ES的DomainTools应用程序
我们可以从Splunkbase开始,在那里您可以找到Splunk和Splunk企业安全的DomainTools应用程序。一旦它被安装在你的搜索头或搜索头集群上,你就可以把你的API密钥放进去,配置你的基本搜索,我们就可以开始丰富地运行了。我们将从DomainTools威胁搜索仪表板开始。这个仪表板是为了让我们快速查看过去24小时内我们在您的日志中发现的域名的详细信息。我们可以帮助标记出那些年轻的域名,所以如果一个域名是5天前注册的,并且正在给你的财务部门发送电子邮件,我们会在这里找到它。新观察到的域,我们之前在你的日志中没有发现的域。恶意软件、网络钓鱼或垃圾邮件的机器学习得分很高的域名。
DomainTools如何定义危险域
在查看有风险的域名时,我们可以查看特定的注册商活动、特定的SSL证书详细信息。我们还可以标记出危险的域名。危险域名是我们在DomainTools这里的混合分数。当涉及到危险域名时,我们所关注的是我们的机器学习分类器对恶意软件或网络钓鱼的风险评分阈值或我们的接近阈值。所以我们把它们放在一起看,所以你必须接近已知的危害,看起来像一个网络钓鱼或恶意软件域。我们的起始定义域是owa-office3365[。com当然符合这个条件。
Splunk和Splunk ES的DomainTools应用程序内的功能
实时查找和搜索相关域
我们可以在应用程序内部执行实时查找,这意味着我们可以针对API执行实时查找,并直接将数据拉入Splunk,而不必离开。我们可以提取这些数据,查看最新的注册信息,托管基础设施信息,我们可能获得的任何注册信息。还有最新的风险评分。我们可以在这里快速创建一个查询,使我们能够查看我们正在用数据填充的KV存储的其余部分,以查找相关域。我们可以寻找托管ISP提供商,也许有几个特定的托管提供商我们需要关注。或者我们可以查看名称服务器,注册商,顶级域名空间,证书,任何真正可能有用的东西,当涉及到调查时,但我们在KV存储中默认填充这些数据30天。
自动钓鱼与PhishEye为Splunk
我们可以自动检测网络钓鱼,所以如果我们用PhishEye工具跟踪特定的关键词或品牌,并每天搜索相似的域名,我们可以直接将这些域名拉到Splunk中。所以我们可以识别这些欺骗域名,因为他们被注册或发现,我们可以生成这个列表,并每天自动摄取到Splunk,然后我们可以监控特定钓鱼域名活动的日志。
将可操作的威胁情报带入Splunk
我们可以通过使用虹膜调查UI将可操作的威胁英特尔带入Splunk。在该UI中,我们可以突出显示并标记域。这些标记是我们帐户的本地标记,但它们将在API调用时流出。如果我们在虹膜UI中标记一个域,然后我们在6个月,8个月,10个月后捕获该域,这个标记将通过,所以我们可以用标记触发显著事件,也可以抑制它们。说到这里,我们的企业安全选项卡允许我们管理和定制DomainTools提供的任何“开箱即用”关联搜索。我们在著名事件框架内的集成允许我们直接弹出到我们的Iris调查平台,或者直接进入实时查找页面,如果我们想留在Splunk内部,但无论哪种方式,我们都可以在特定领域进行更深入的研究。
DomainTools App for Splunk允许我们将我们的丰富转化为威胁情报,允许我们了解我们在日志中发现的域名的风险因素,允许在我们的日志中精确地针对我们的威胁搜索域名所有权托管提供商,它允许我们表面有意义的警报和过滤掉噪音。它允许我们根据可能的恶意使用对域名进行分类。
