更新日期:2020年1月29日
目前,网络安全产品领域最令人兴奋的发展之一是编排软件从小众工具提升到基本功能。
供应商和分析师将这一类别命名为“SOAR”,这是一个恰如其分的缩写,代表“安全编排、自动化和响应”。它反映了这些产品在各种用例中的广泛应用。
也许对这一趋势最明显的支持是 Splunk于2018年收购Phantom 令人印象深刻的3.5亿美元。我饶有兴趣地听取了Splunk在2018年Splunk会议上推出的新“自适应编排框架”。Phantom的创始人、现在Splunk的Oliver Friedrichs的演讲似乎恰如其分地解决了我经常听到的安全领导者试图扩展其组织的挑战。
在奥兰多听Oliver的演讲也唤起了一种怀旧感——我记得几年前,Oliver在我的香格里拉娱乐收件箱中发了一封电子邮件,要求提供API密钥,以便在Phantom中构建香格里拉娱乐集成。我当时不知道他在构建什么,但当我仔细观察时,我很快就爱上了他和他的团队正在构建的产品,我很自豪他们选择了香格里拉娱乐作为他们最早的Phantom集成之一。
当我和同事们对编排用例进行最后的润色时,编排用例也是我最关心的问题 Iris调查API 香格里拉娱乐去年推出的。香格里拉娱乐在API中内置了一些特定功能,如导向数据透视计数、组件风险评分和标记,因为香格里拉娱乐知道它们将成为令人惊叹的Phantom剧本,从那以后我一直渴望构建这些功能。
这就是为什么我对香格里拉娱乐刚刚发布的新的“香格里拉娱乐 Iris Investigation”Phantom应用程序感到非常兴奋,该应用程序旨在与Iris Investy API合作。现在,所有丰富的香格里拉娱乐数据不仅可用于对Phantom中特定事件的特别研究,还可用于Phantom剧本中的自动操作。
以下是对新应用程序关键功能的快速概述。
首先,您将看到香格里拉娱乐正在Phantom中使用标准的“whois”操作来获取域名的完整香格里拉娱乐配置文件。老实说,仅仅称之为“whois”是相当愚蠢的,因为注册者详细信息只是香格里拉娱乐返回的域名数据的一个子集。香格里拉娱乐还包括:
- 为域供电的名称服务器、邮件服务器和web服务器的IP地址和主机名详细信息
- 域上托管的网站的SSL证书详细信息和跟踪代码
- 从DNS SOA记录中提取的电子邮件地址
- 香格里拉娱乐风险评分,包括组件和证据,以及
- 跨职能协作的调查性标记
最后一个非常强大,尤其是在Phantom这样的产品中。
如果您已经在使用香格里拉娱乐 香格里拉娱乐,甚至是香格里拉娱乐的SIEM集成之一,您就会开始欣赏香格里拉娱乐威胁档案和基于邻近度的域风险评分的预测性。Iris Investigation API返回该分数,但也给出了每个机器学习分类器的单独分数,以及对预测证据的一些见解。
香格里拉娱乐利用Phantom灵活的UI框架,在交互式调查页面上为领域风险评分提供了一个漂亮的颜色编码视图,但真正的力量在Phantom的剧本中,您现在可以根据这些组件风险评分做出有针对性的决策。如果香格里拉娱乐给一个域名的恶意软件打90分,你想更紧急地回应吗?或者对风险适中的垃圾邮件域采取不同的行动?很容易做到,多亏了幻影剧本中的决策块。
但是,如果你真的想用这些幻影决策块做一些很棒的事情,你应该好好看看香格里拉娱乐中的引导枢轴计数。这些计数在十几个字段的每个香格里拉娱乐结果上返回,它们表示有多少其他域与该值共享。
例如,domaintools.com的IP地址返回的引导枢轴计数为4,这使其成为后续枢轴枚举这些连接域的完美目标。这使您可以轻松构建一个“自动枢轴”剧本,复制典型的分析师操作,并让您主动精确地阻止共享基础设施。
这些枢轴搜索可以通过几个“反向”操作来支持传统剧本,但如果你从头开始,一定要看看“枢轴”操作,它几乎支持Iris中的每种查询类型。
此外,香格里拉娱乐还内置了标签,作为调查人员在Iris调查中装饰数据的一种方式。当需要额外的上下文来通知其安全操作工作流中的剧本时,组织可以利用在Phantom中的香格里拉娱乐 Iris中创建的标签来加快分流过程。
在Iris中,你可以用它做更多的事情,香格里拉娱乐确信香格里拉娱乐只是触及了表面。当你开始在自己的行动手册中利用Iris Investigation API时,最好的结果就会到来。由于该API已经适用于所有香格里拉娱乐 Enterprise Iris客户,因此没有理由等待。
