最近更新文章
2017/11/21
偵測、鑑識、回應兼備 端點安全更上層樓
2017/11/21
四個開源大數據工具 打造超高速輿情監控系統
2017/11/20
VMware協助台灣託管服務商轉型並交付新型服務
2017/11/20
打造私有雲協作平台 重新定義工作型態
2017/11/20
虛擬桌面VMware再出招 新版Horizon 7.2大提升
2017/11/19
Pure Storage 推出全新SAP自動化拷貝工具(CAT)
2017/11/17
打造智慧工廠 IPC大廠分享實戰經驗
2017/11/17
跨雲時代的轉型秘訣
2017/11/17
行為鑑識搭配防毒引擎 提升端點偵測效率
2017/11/16
威聯通科技引領雲端風潮 整合高速運算啟動AI應用
2017/11/16
Juniper Networks協助國立暨南國際大學擴充校園核心網路
2017/11/16
EDR跨足次世代防毒 挺進端點保護平台市場
2017/11/15
台灣駭客隊伍數破新高,全球駭客12月來台爭冠
2017/11/15
趨勢科技獲 2017 NSS Labs 評測,入侵偵測率的完美成績
2017/11/15
紅帽與阿里雲攜手 運用開放原始碼技術帶來更高靈活性
2017/11/15
team+攜手VMware 打造俱行動安全管理的企業協作平台
2017/11/15
多功能工作站 設備擴充好利害
2017/11/15
SAP協助如興進行數位轉型
2017/11/15
英特爾首款桌上型電腦與工作站專用Optane固態硬碟
2017/11/15
曜越全新數位監控軟體 雲端智慧電源管理平台
2017/11/15
達友科技、中華電信與Carbon Black聯手打造最強資安艦隊!
2017/11/15
VMware結合凌華科技提出預先整合式物聯網方案
將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2017/8/8

資安分析師的日常

John是一位五人SOC團隊中的二級威脅分析師。他所在的SOC團隊位於隸屬於公部門組織,他們每天使用RiskIQ PassiveTotal調查入侵指標(Indicators of Compromise,IOC),並幫助他們在資安事件回報時大幅降低誤報率。
PassiveTotal中擁有大量RiskIQ所收集的資料,並建立各式獨特的資料集,利用這些高度關聯資料能有效幫助調查的進行,勾勒出新的連結、對類似的攻擊活動做分群、並佐證對IOC的假設。  

過去John的團隊本來沒有使用PassiveTotal。早期他們混合各式不同的工具來解決問題,因此在作業上需要花時間去手動整合、且整個工作流程是被切割的。以下John展示在未使用PassiveTotal前,一個標準的資安事件回報的工作範例,以Lazarus Group攻擊波蘭銀行業事件中的IP作為案例,這是透過IDS(入侵偵測系統)標識出的IP: 109.164.247.169。  

1. John會先開啟網域工具對該IP的WHOIS做查找,獲得諸多WHOIS相關訊息,包含IP解析出的HOST、WHOIS紀錄、註冊人及其email…等。  

2. 同時他會開啟另一個分頁,開啟Mnemonic對此IP的被動DNS紀錄做查找,這幫助他了解有哪些Domain可以解析出此可疑IP。  

3. 為了瞭解此IP上是否有任何來自公開來源情報(OSINT)的資訊,他會開啟多個分頁從多方做查找,來源像是Phishtank、FireEye blog、Facebook、threat exchange等。  

4. 接下來,他會再開啟下一個分頁,用VirusTotal對剛剛從Mnemonic找到的domain做hash值比對。  

透過上述步驟,John可以掌握相當程度關於此IP的訊息-WHOIS資訊、被動DNS紀錄、OSINT、Hash。在對上述各類別訊息做調查時,若有任何可疑的事情被察覺,他會花更多在時間對該來源做更深入的研究。這樣的調查流程,每個訊息來源至少要花他10到15分鐘的時間,而往往需要進行到多次交叉比對。  

現在我們來看看,John及他的團隊導入RiskIQ PassiveTotal後,同樣的調查是如何進行的。  

透過IDS標識出的IP 109.164.247.169。  

1. John將IP直接輸入進RiskIQ PassiveTotal平台進行查找,馬上他就可以看到WHOIS和被動DNS資料被呈現在視覺化的熱圖上(heatmap)。  

2. 基於熱圖上不同時期的變化,John可以針對並縮限調查範圍。所有歷來解析的IP/Domain都在Resolutions分頁被列表呈現,讓John可以在一個畫面就快速瀏覽所有的歷史紀錄。  

3. John直接點擊‘resolutions’分頁上解析出的結果,第一筆‘sap.misapor.ch’,即會自動執行對該Domain的查詢如下圖。  

RiskIQ PassiveTotal的介面提供豐富的關聯資訊,像是OSINT、RiskIQ獨家的黑名單、Malware…等,這讓John於單一平台即可建構完整且全面的調查研究,收集資訊並整理的過程變得順暢,最終,僅需數分鐘即可完成整個調查流程。  

使用RiskIQ PassiveTotal進行調查花費的時間被節省了不只一半。效果顯著的原因,便是PassiveTotal結合了各種不同的的資料來源,整合於單一平台甚至畫面,幫助像是John的威脅分析師不再需要四處瀏覽或訂閱多種資訊來源。  

 

這篇文章讓你覺得滿意不滿意
送出
相關文章
偵測、鑑識、回應兼備 端點安全更上層樓
行為鑑識搭配防毒引擎 提升端點偵測效率
EDR跨足次世代防毒 挺進端點保護平台市場
台灣駭客隊伍數破新高,全球駭客12月來台爭冠
趨勢科技獲 2017 NSS Labs 評測,入侵偵測率的完美成績
留言
顯示暱稱:
留言內容:
送出