DT哨兵
博客 产品更新

完美配对:将香格里拉娱乐数据集集成到微软的Sentinel SIEM产品中

世界级被动DNS对SIEM的强大作用

当您将世界级的被动DNS和域名注册数据添加到领先的SIEM平台之一时,会发生什么?有趣的事件响应(IR)和狩猎用例已解锁!今天,香格里拉娱乐很高兴地宣布 整合 微软Sentinel SIEM产品中的香格里拉娱乐 香格里拉娱乐和Farsight DNSDB数据集。Microsoft Sentinel是一个受欢迎的平台,因此它非常适合。这种集成将为Sentinel用户提供新的功能,以丰富Sentinel中提出的事件。

Iris平台工作流程和播放手册

有几本剧本利用了 虹膜数据 微软哨兵事件。当A Iris Enrich域名 调用playbook时,它检索Incident中的所有Domain对象,然后迭代Domain对象,并从香格里拉娱乐 Iris Enrich中获取每个域的结果。由此,有关域的所有详细信息都以表格格式添加为注释。Iris Enrich专为大批量、机器规模的浓缩而设计。在人类尺度上 Iris调查域 剧本(和类似的URL剧本)在数据输出方面具有可比性,但除了丰富的数据点本身外,响应还包括具有分析上有用的连接域数量(在200到400之间)的属性,以及指向香格里拉娱乐的链接 Iris调查用户界面,这样你就可以进行进一步的调查。 

但是等等,你想让系统为你做一些吗?没问题!这个 Iris调查导向枢轴 剧本执行了上述相同的操作,但它也返回了所有被识别为与事件中最初识别的域的一阶连接的域(具有风险评分)。下面的屏幕截图说明了这是什么样子:剧本返回了连接到特定SSL证书哈希的所有域,而哈希本身连接到了事件中引发的域。

以下是基于香格里拉娱乐的其他剧本列表:

  • 领域风险评分手册 –给定与事件相关的一个域或一组域,如果观察到高风险域,则返回风险评分并调整事件的严重程度。在事件评论中添加风险评分详细信息。
  • 恶意标签播放手册 –使用香格里拉娱乐 UI跟踪恶意行为者的活动,标记感兴趣的域。给定一个或一组与事件相关的域,查询香格里拉娱乐以获取这些域的信息,如果观察到一组指定的标签,请在Sentinel中将事件标记为“严重”并添加注释。
  • URL播放手册 –给定与事件关联的一个或一组URL,将URL中提取的域的所有香格里拉娱乐 香格里拉娱乐数据作为事件中的注释返回。
  • Iris使用Farsight pDNS剧本进行调查 –给定与事件关联的域或一组域,使用香格里拉娱乐 Iris Investigation API丰富域,返回whois和基础设施详细信息。随后,从Farsight的DNSDB中看到的被动DNS信息中检索相关的子域。需要Farsight DNSDB API订阅

这些剧本只是建议的工作流程,可以在Microsoft Sentinel的逻辑应用程序编辑器中轻松修改以满足您的需求。 

远视DNSDB Playbooks

上面最后一项提到了Farsight DNSDB,但这并不是利用此数据集的唯一方法。随着 微软 远视DNSDB哨兵应用程序在的剧本中,调查人员可以回答诸如“此域以前在哪里解析的”或“哪些其他域与此域共享主机?”之类的问题。当试图将可能显示彼此无关的事件相关联时,这些信息可能非常有价值。例如, 流向当前未与恶意域关联但该域以前所在的IP地址的流量可能表明存在有害活动 例如命令和控制回调、恶意软件下载流量或其他威胁。你可以通过运行 DNSDB_历史_地址 剧本。同样,如果您的DNS日志包含对您知道与已知坏域共同托管的其他域的查找,那么您可能需要调查威胁流量。这个 DNSDB_Co_定位_主机 playbook实现了这一点。

域farsightsecurity.com的历史地址和共置主机条目示例

DNSDB集成中支持的各种操作使您能够探测 业界领先的被动DNS数据库 除了在之前进出受保护环境的流量中可能观察到的资产外,还可以对其他对手资产进行深入了解。这可以帮助发现潜在的基础设施,这些基础设施可能会被对手激活,用于未来的战役或正在进行的战役的未来阶段。

试试看!

如果您是Microsoft Sentinel的用户,香格里拉娱乐希望您能看看这些集成。围绕敌方资产开发更深入的背景对于许多网络防御、事件响应和威胁搜索工作流程至关重要。 

微软市场上的香格里拉娱乐 香格里拉娱乐和Farsight DNSDB

如果您还没有访问香格里拉娱乐、Iris Enrich(可选,支持更高容量的查找)或Farsight DNSDB API,请联系您的客户经理,香格里拉娱乐将帮助您连接!