为了方便您,我们在下面包括了视频转录
当前的检测技术,例如Crowdstrike Falcon可以提供有关组织内部恶意活动的大量信息,并可以识别与攻击或数据剥落相关的域或IP地址。但是,由于威胁行为者迅速“烧毁”基础设施,因此对IOC的反应性方法可能会使您接触新的攻击。
幸运的是,可以通过对抗对手及其基础设施采取更加积极的立场。这使您可以优先考虑在武器化过程中围绕域和IP地址的阻止和检测。
Domaintools Iris提供预测的风险评估和DNS基础架构智能内部的基础设施智能,以实现域可观察物的快速,内在分析。
该风险评估来自专有的Domaintools风险评分和Domaintools威胁性资料数据集,使您可以做出有关防御或法医行动的明智决定。当需要进行更深入的调查时,您可以直接从Falcon卡发射Domaintools Iris,而不会破坏您在Falcon中的当前调查。
Dimaintools风险分数预测了一个域名的可能性,通常是在运行之前。这可以减少在注册恶意域的时间与观察并公开报告为攻击的组成部分之间的脆弱性窗口。
Domaintools威胁性概况通过让安全从业者深入了解哪些领域具有“恶意意图”的特征来提供进一步的预测分析。这些算法分析了域的固有特性,并为所研究的域提供网络钓鱼,恶意软件和垃圾邮件分数。
这Domaintools Iris威胁情报应用程序轻松自然地适合您的猎鹰工作流程。该应用程序在CrowdStrike商店中的页面描述了该应用程序的作用,但也是对对抗基础架构进行调查的起点。您可以在此处进入全局搜索中输入域名。在此示例中,Falcon本身在环境中没有看到此域,但是Domaintools选项卡将告诉我们更多有关它的信息。
开始调查的另一种常见方法是对警报进行分解。在这里,发生了一个关键事件。在Falcon中,您可以通过各种钻孔功能来了解有关事件的更多信息。在这种情况下,一直到DNS活动钻探提供有关从受保护环境接收PING流量的特定域的详细信息。再一次,从“ Domaintools”选项卡中,直接前往Iris,以仔细观察。
进入虹膜接口后,您可以看到有关域的其他丰富数据,包括注册,托管,屏幕截图等。您可以关闭任何数据点,以找到可能是较大攻击活动的一部分的链接基础架构。这是从反应性转变为主动的方法之一 - IRI经常让您看到现在可能处于休眠状态的基础架构,但后来将作为正在进行的运动的一部分进行激活。您在此处照明的基础架构可以导出,以供以后用于检测工程或阻止规则。