DNSDB QRadar集成用户指南
1.导言
远景安保 (现在是香格里拉娱乐的一部分) DNSDB® 是世界上最大的DNS情报数据库,提供了一个独特的、基于事实的、多方面的全球互联网基础设施配置视图。DNSDB利用了远视安全信息交换(SIE)数据共享平台的丰富性,由领先的DNS专家设计和运营。远视科技从其全球传感器阵列收集被动DNS数据。然后,它会在将DNS事务与ICANN赞助的区域文件访问下载数据一起插入DNSDB之前对其进行过滤和验证。最终的结果是同类中质量最高、最全面的DNS情报数据服务——自2010年以来,已有1000多亿条DNS记录。
本文档旨在帮助用户如何下载、安装和配置Coloursight DNSDB应用程序 IBM QRadar。
Coloursight DNSDB应用程序 IBM QRadar能够通过其编排和自动化功能加速事件响应,以调查和减轻威胁。IBMQRadar用户可以在进攻源的进攻摘要页面中查看DNS丰富的数据。这将有助于加快QRadar的调查,并优先考虑犯罪行为,以调查和确定可疑安全漏洞的来源,从而进行威胁搜索。
Coloursight DNSDB应用程序 允许IBM QRadar用户使用右键单击菜单选项实时执行日志活动调查。
2.下载
下载Farsight DNSDB应用程序时应遵循以下步骤。
- 转到IBM Security App Exchange门户并搜索Farsight DNSDB。
- 为IBM QRadar选择远视DNSDB应用程序。
- 在应用程序描述页面中,单击下载按钮获取zip包进行安装。
请注意,您需要一个活动的IBMid才能从IBM Security App Exchange门户下载Farsight DNSDB App for QRadar。
3.安装
按照以下步骤安装Farsight DNSDB应用程序。
- 登录到您的IBM QRadar实例。
- 转到“管理”选项卡,然后选择“扩展管理”。
- 在“扩展管理”页面上,单击“添加”按钮。
- 在弹出窗口中,单击浏览并选择下载的zip安装包。选中立即安装,然后单击添加按钮。
- 将打开一个弹出窗口,其中包含安装包中所有项目的列表,单击安装按钮继续。
- 安装后,将打开一个弹出窗口,其中包含已安装项目的列表。
- 单击“确定”按钮继续。
- 现在安装已完成。
4.配置
安装应用程序后,您需要根据自己的要求配置扩展。为此,请按照以下步骤操作
- 转到“管理”选项卡,向下滚动到“应用程序”部分,然后选择“ColourSight DNSDB“应用程序,然后单击”配置Farsight DNSDB应用程序“(或者)您可以转到Farsight DNS数据库仪表板,单击”配置应用程序“。
- 在Farsight DNSDB配置页面上,您将看到以下选项。
远视DNSDB应用程序设置
- 远景DNSDB URL 指Farsight DNSDB服务器的Farsight DNSDB API端点
- Farsight DNSDB API 密钥是指用于对Farsight DNSDB服务器的请求进行身份验证的API密钥。输入Farsight Security提供给您的API密钥。如果您没有API密钥,请请求API密钥,请参阅 远视安全入门 页面
- 启用代理 如果您希望配置Farsight DNSDB应用程序用于连接Farsight DNS DB服务器的代理设置,则此选项用于定义代理设置。选中此选项后,您将看到提供代理设置的部分。
- 代理类型:Http/HTTPS
- 代理IP/主机名:提供有效的IP/主机名称
- 代理端口:要连接的端口号
- 如果代理服务器需要身份验证,请指定用户名和密码以连接需要身份验证的代理服务器。
自动犯罪强化设置
- 回顾(天) 指将记录限制在犯罪前几天内看到的记录。默认设置为90天。
- 展望未来(天) 指将记录限制在犯罪后的这段时间内。默认设置为01天。
- 限制 指每次查询返回的结果数量的限制。默认设置为10。
- 枢轴限制 是指限制共置主机和IP的中间查询数量。默认设置为10。
- 启用RData(IP查找) 此选项用于在犯罪摘要页面中显示IP地址的RData结果。默认设置为True。
- 启用共置(IP查找) 此选项用于在犯罪摘要页面中显示IP地址的共置IP结果。默认设置为True。
- 启用RData(域查找) 此选项用于在犯罪摘要页面中显示域的RData结果。默认设置为True\
- 启用RRSet(域查找) 此选项用于在犯罪摘要页面中显示域的RRSet结果。默认设置为True。
- 启用共置(域查找) 此选项用于在犯罪摘要页面中显示域的共置域结果。默认设置为True。
5.自动威胁搜索
Farsight DNSDB应用程序使IBM QRadar用户能够在域/IPAddress类型的犯罪源的犯罪摘要页面中查看Farsight DNS DB被动DNS扩展数据。
对于以IP地址作为攻击源的IBM QRadar攻击,您将以表格形式看到“Farsight DNSDBRData”和“Farsight-DNSDB共置IP”的结果。
对于以域为攻击源的IBM QRadar攻击,您将看到“Farsight DNSDBRData”、“Farsigent DNSDB RRSET”和“Farsight-DNSDB共置域”以表格格式显示的结果。
注: 返回的结果将基于您的配置设置。
要在犯罪摘要页面上查看Farsight DNSDB威胁查找结果,请从菜单选项转到“犯罪”选项卡。
为了进行调查,双击任何犯罪,如果犯罪源是域名或IP地址,您将看到表格格式的Farsight DNSDB富集数据。
- DNSDB RDATA结果:此查找查询DNSDB的RData索引,该索引支持基于RData记录值的“反向”查找。与RRSet查找方法相比,RData查找只返回单个资源记录,而不返回完整的资源记录集,并且缺少bailiwick元数据。必须对通过RData查找报告的所有者名称执行RRSet查找,以检索完整的RRSet和bailiwick。
- DNSDB RRSET结果:
此查找查询DNSDB的RRSet索引,该索引支持基于RRSet所有者名称的“前向”查找。
- DNSDB共置域:此查找将根据“冒犯源”值识别所有位于同一位置的域(基于地址)。这将是一组与原始域名共享相同IP地址的域。
- DNSDB共置IP:此查找将根据Offense Source值识别所有位于同一位置(基于域)的IP。这将是一组与发起IP地址共享同一域的IP。
6.手动威胁狩猎
日志活动调查
Farsight DNSDB应用程序使IBM QRadar用户能够通过右键菜单选项执行日志活动调查。当您右键单击日志查看器或事件查看器中的IP地址/域字段时,您将看到“在Farsight DNSDB Scout中查找”选项,当您单击它时,这将重定向到“Farsight DNS DB Scout”页面,您可以在那里查询IP地址/域名。
对于除IP地址/域之外的任何其他字段,在日志查看器或事件查看器中选择日志记录,然后单击“在Farsight DNSDB Scout中查找”工具栏按钮,这将打开一个新窗口,您将在其中看到所有日志记录字段,您可以单击所需的字段进行查找,这将重定向到“Farsight DNS DB Scout”页面。
通过仪表板进行威胁查找
Farsight DNSDB应用程序使IBM QRadar用户能够对用户提供的文本进行威胁查找,而不管日志活动(或)犯罪来源如何。
下一步是,转到“Farsight DNSDB仪表板”,在仪表板页面中提供您要在Farsight DNS DB Scout中搜索的任何用户提供的文本。
