Abstract image

随着2019年的推出 域工具MISP 插件,香格里拉娱乐在免费的开源威胁共享平台上提供了DNS威胁调查。香格里拉娱乐丰富的数据集继续为非商业威胁情报平台内的妥协指标(IOC)提供上下文丰富,使香格里拉娱乐的用户能够寻找未知的恶意基础设施。

今天香格里拉娱乐很高兴地宣布 用于TheHive和Cortex的香格里拉娱乐 Iris集成通过这种集成,香格里拉娱乐扩展了在安全运营中心(SOC)内自动化事件响应(IR)和编排功能的能力。

首先,TheHive和Cortex是什么?

TheHive 是一个可扩展的开源解决方案,专为SOC、网络安全事件响应团队(CSIRT)、计算机应急响应团队(CERT)和任何信息安全从业者而构建,使他们能够有效地调查安全事件。跨事件管理阶段和职能的协作是平台的核心。可以使用模板手动或自动为每次调查创建案例,模板可能因调查类型而异。

皮质 是一个独立的分析引擎,也是TheWive的完美伴侣。TheHive通过REST API与Cortex进行本地对话,以执行对可观察性的快速评估。

这两个平台合在一起可以节省大量时间,并消除一些相关的繁琐任务。然后,分析师可以使用分析功能,您可以添加和调查与案例相关的单个或数千个可观察对象。最后,将TLP和源标签关联起来的良好旧实践也在平台中得到了体现。

As The Hive项目 经过3年的发展,香格里拉娱乐注意到它在香格里拉娱乐的客户群中也被采用为一种可行的企业SOC/CSIRT/CERT工具。随着香格里拉娱乐的用户开始在TheHive中操作他们的事件管理流程,他们很快发现在调查事件时需要DNS威胁上下文。尽管许多用户已经可以访问香格里拉娱乐的情报数据集,但分析师对这些应用程序的访问往往很少或有限。对于一些可以访问这些上游系统的人来说,他们感到在多个工具集中继续调查和分类的负担。 

解决方案很明显——用香格里拉娱乐 Iris智能大规模丰富TheWive中的可观察性,并阐述事件管理功能的价值。通过这种集成,香格里拉娱乐带来了可操作的真相以及香格里拉娱乐分析、域风险评分和威胁证据等形式的证据。所有这些都利用了TheSive中功能强大的点击界面。

在我深入探讨这种集成的功能、机制或细微差别之前,我想向我的队友表示感谢, TheHive项目成员,最重要的是香格里拉娱乐的客户,他们帮助实现了集成用例。

可观察到的富集

香格里拉娱乐 Iris分析器是用Investigation API构建的,它为域引入Iris数据,包括Whois、域风险评分和与域相关的工件,如SSL、ASN信息等。

在丰富可观测数据的同时,香格里拉娱乐将丰富数据保存在事件中的可观测报告中。这使用户能够方便地查看丰富的数据集,包括香格里拉娱乐引导的数据透视,以帮助他们进一步调查。

为方便起见,组织配置的引导枢轴低于阈值限制的工件会在视觉上突出显示。用户可以将这些工件添加为潜在的枢轴/反转点。

这使分析师能够调查事件,而无需在多个工具之间切换上下文。此外,事件中的富集数据是方便报告和对账的合格工具。每当分析师觉得有必要深入香格里拉娱乐调查平台时,他们都可以从可观察的报告中方便地启动它,而不会失去他们在调查中的背景。

发现互联基础设施

但是,如果仅仅分析DNS工件并不能为您提供足够的洞察力呢?如果你能拉开窗帘,看看与可观察领域有关的东西就好了。瞧,香格里拉娱乐 Iris枢轴分析器将允许TheWive用户实现这一点。使用pivot操作作为分析器,用户可以在任何相关的IP、SSL哈希和注册人电子邮件地址上进行pivot,并检索相关的IOC。

如果你要对你应该关注的许多属性中的哪一个进行抛硬币,你可以把它保存到自动点唱机上。香格里拉娱乐引入了香格里拉娱乐专有的Guided Pivots分析,这将指导您的调查。引导式枢轴计数通常会自行创建一条调查路径,甚至在你决定枢轴之前。

我有没有告诉过你,在可观察的富集过程中,香格里拉娱乐已经为你突出显示(标记)了可行的导向枢轴?

恭喜你,你刚刚发现了一组全新的IOC,否则它们将无法被发现。加入一些香格里拉娱乐分析,如年龄、域名风险评分等作为过滤器,您可能已经缩小了要导入到您用于整合情报和映射取证的平台中的IOC的目标列表。

现在你可能会想,这似乎太容易了。我说,不客气。

如果你是 薄雾 用户,您还可以通过链接这两个实例从MISP事件中自动创建案例。这是开源社区的古老魔法,也是所有成员所做的投资。如果您需要看到这一点,香格里拉娱乐很乐意向您展示功能演示并分享香格里拉娱乐的专业知识,以便您的团队能够快速运行。

图:与TheWive双向同步后的MISP事件

对于那些还没有机会玩TheHive或Cortex生态系统的人,我强烈推荐它。如果您希望企业支持TheHive和Cortex生态,可以通过以下方式联系创始团队: StrangeBee

对于现有的香格里拉娱乐 Iris客户,Iris API都是您平台访问的一部分,因此没有理由不尝试一下。香格里拉娱乐的分析器可以从TheHive Github仓库下载。

毕竟,它是免费的,你可能面临的最大风险是在一个慵懒的春日下午度过几个小时。

以更严肃的态度,但基于香格里拉娱乐的核心理念,香格里拉娱乐继续相信并民主化DNS威胁调查。香格里拉娱乐 Iris for TheHive集成证明,事件响应编排不仅可以在昂贵的商业产品中实现。而且,现在香格里拉娱乐可以在防御网络攻击时利用免费和开源的解决方案。通过将MISP、TheHive和Cortex与香格里拉娱乐 Domain和DNS基础设施智能集成,香格里拉娱乐可以共同抵御大规模攻击,并帮助使互联网成为一个更安全的地方。

来源: https://dilbert.com/strip/2007-08-03