针对恶意互联基础设施的丰富且可操作的上下文
长期以来,威胁行为者一直滥用DNS进行网络钓鱼活动。使用大型语言模型(LLM)和针对移动用户,使得恶意活动得以扩大。这些要求在SOC中扩展上下文数据,为SIEM和其他平台提供更多管理空间。以低延迟执行高容量查询可以将上下文转化为可操作的情报。
今天,香格里拉娱乐很高兴地宣布推出适用于Splunk、Splunk企业安全(ES)和Splunk安全编排自动化和响应(SOAR)的最新香格里拉娱乐应用程序。借助这些增强功能,Splunk用户可以使用香格里拉娱乐:
- 使用最大的实时历史域和DNS基础设施数据库加强调查。
- 迅速优先考虑妥协指标(IOC),以有效补救并改善安全态势,从而降低总体成本。
- 访问预先武器化的域,以减少网络中钓鱼、恶意软件和垃圾邮件的威胁。
虽然域和DNS基础设施智能只是取证、事件响应、网络钓鱼、欺诈预防、威胁搜索和品牌保护的一个组成部分,但俗话说:它始终是DNS。了解Splunk用户如何通过以下方式快速丰富记录的域,并直接在其应用程序中减轻最优先的威胁:
- Iris Detect用于编译钓鱼域名的API
- 香格里拉娱乐 Iris和Farsight DNSDB的原生搜索命令,因此它们可以更容易地根据自己的条件进行扩展
- 来自Farsight DNSDB的大规模IPv4信息内置于工作流中
- 其他域属性,如子域名的SSL持续时间、网站和SSL主题替代名称
- 通过预测风险评分早期检测钓鱼域名
- -Splunk SOAR中使用搜索哈希查询+“内部首次出现”参数进行搜索
Splunk和Splunk企业安全
通过利用Iris和DNSDB数据集立即访问Splunk中每个域事件的数十个属性,可以在Splunk和Splunk ES中发现更多上下文数据。
- 增强警报相关性: 允许用户将特定的警报属性(例如域值)链接到Splunk平台内的相关搜索。此增强功能使用户能够快速从警报转向相关事件,从而促进更高效的调查过程。
- 警报触发: 允许非ES客户使用KV存储配置和触发警报。用户可以在KV存储中定义警报条件、阈值和操作,从而与外部自动化流程或警报系统无缝集成。
- 错误识别: 识别客户在升级过程中面临的常见问题,包括INT-269(重复保存的密码ID)和INT-290(索引器捆绑包中的应用程序存在)等已知问题。与开发和质量保证团队密切合作,了解这些问题的根本原因。
- Whois历史查询: 在系统中实现历史Whois查找功能,允许用户访问过去的域所有权信息。此功能将通过为领域数据提供历史背景来增强调查。
- DNSDB可旋转数据: 将DNSDB可转换的数据集成到系统中,使用户能够从域信息转换到相关的DNS数据。这有助于更有效地追踪与领域相关的活动并识别潜在威胁。
- 虹膜检测警报: 开发在系统内直接创建虹膜检测警报的能力。用户可以根据香格里拉娱乐数据定义警报条件,从而增强他们及时检测和响应潜在安全事件的能力。
- 仪表板创建: 开发全面的使用仪表盘,实时了解API使用的各个方面。仪表板应包括数据检索率、查询性能、日志详细信息和查询计数等指标。
Splunk SOAR v1.5.1
利用香格里拉娱乐威胁情报和数据的强大功能可以在Splunk和Splunk ES中识别新的高风险域,但威胁团队可以将这些功能更进一步,并自动响应Splunk SOAR中的恶意域。
- 测试连接性: 验证连接的资产配置。
- 域名信誉: 评估给定域的风险。
- 枢轴动作: 查找由任何支持的香格里拉娱乐搜索参数连接的域。
- 反向域: 从单个域响应中提取IP以进行进一步旋转。
- 反向IP: 查找具有虚拟主机IP、NS IP或MX IP的域。
- 加载哈希: 通过香格里拉娱乐导出哈希加载或监视Iris Investegate搜索结果。
- 反向电子邮件: 在Whois、DNS SOA或SSL证书中查找带有电子邮件的域
- 查找域: 使用Iris Investigation API端点获取域的所有Iris Inverse数据(必需)。
- 丰富域名: 使用大容量Iris Enrich API端点获取域的所有Iris Investigation数据(如果已配置),但计数除外。
- 配置计划播放簿: 在初始设置中运行以配置可选的监控剧本。此操作将创建一个自定义列表来管理剧本调度和运行状态。
- 关于投票: 根据“domaintools_scheduled_playbooks”自定义列表中设置的间隔(分钟)执行计划的playbooks。较小的间隔将导致更准确的时间表。
Splunk .conf 2024
这些更新发生在一个激动人心的时刻,因为香格里拉娱乐的团队准备下周前往拉斯维加斯参加Splunk.conf。香格里拉娱乐并不是唯一发布一些很棒的功能更新的人;Splunk的团队将展示整个平台的几个新更新,这肯定会增强香格里拉娱乐的香格里拉娱乐客户使用Splunk平台的体验。还将举行一些极具影响力的会议,讨论整体威胁格局以及团队为阻止网络犯罪所做的艰苦工作。以下是香格里拉娱乐最为期待的会议:
人工智能、金融服务和金融犯罪的未来——6月12日星期三|太平洋夏令时下午2点-3分|丽都3001B
Splunk在金融服务行业有很多用例。金融业是网络犯罪、知识产权盗窃、敲诈勒索、欺诈和间谍活动最引人注目的目标之一。Splunk正在通过Field CTO领导的讨论,将这一领域作为优先事项, 马特·斯旺, 全球支付股份有限公司检测与加密高级副总裁。 米奇·科普兰。本次会议将重点讨论在金融犯罪不断上升的情况下,如何促进安全、欺诈、风险、IT和工程团队之间的合作。
成为黑客和防御者:使用Splunk进行威胁模拟和检测工程| 6月13日星期四|太平洋夏令时下午3:30-5:30 | Marcello 4404
对于经验丰富的Splunk用户,本高级课程将提供一个互动研讨会,通过Splunk Attack Range探索真实场景。该平台将允许用户从黑客的角度模拟攻击,然后以防御者的身份做出回应。本次会议的与会者有限,不会被录制,所以请尽早到达!
利用Splunk®企业安全、机器学习工具包和SOAR实现快速机器学习的深度IoC狩猎|太平洋夏令时上午11点至11点45分| Marcello 4501
香格里拉娱乐喜欢Splunk ES和Splunk SOAR,所以这次会议引起香格里拉娱乐的注意也就不足为奇了。但这次演讲为那些刚接触Splunk Security平台的人提供了一个绝佳的机会,让他们直接了解如何识别大规模的妥协指标并采取行动。本次会议将有2023年Splunkie奖得主和 L.A.M.E创意 (日志分析变得容易)内容创建者特洛伊·摩尔。
查看更多Splunk SOAR和Splunk SIEM 5直播
如果您下周将参加Splunk.conf,并有兴趣了解更多关于香格里拉娱乐如何才能做到的信息,香格里拉娱乐强烈建议您光临香格里拉娱乐的501号展位或 安排一次谈话 与香格里拉娱乐的团队一起查看这些新功能的实际应用。香格里拉娱乐意识到,参加.conf这样的展会意味着你的宠物被留在家里,所以当你与香格里拉娱乐预订一个简短的会议时,你和你的宠物将收到匹配的t恤。
