Главная » Блоги Экспертов И ИТ-Компаний » База знаний о сети Интернет PassiveTotal для аналитиков SOC и киберразведки

База знаний о сети Интернет PassiveTotal для аналитиков SOC и киберразведки

Зачем аналитику SOC данные о сети Интернет

Аналитикам SOC и киберразведки, расследующим инциденты, необходима как можно более детальная и точная информация о злоумышленниках, их текущей и потенциальной инфраструктуре, в том числе IP-адресах, доменах, истории активности серверов, их взаимосвязях и так далее.

Эти данные помогают строить таймлайны инцидентов и активностей злоумышленника, находить связанную инфраструктуру и возможные другие источники взлома, пытаться предсказать будущие векторы атаки, а также провести атрибуцию злоумышленной кампании.

Все это возможно благодаря PassiveTotal — массивной базе знаний о сети Интернет.

Заказать PassiveTotal в России

Что такое PassiveTotal?

RiskIQ PassiveTotal — это база знаний о сети Интернет, которая ускоряет расследования, позволяя связывать активность внутри периметра, такие как алерты, события и индикаторы компрометации (IOC) с тем, что происходит за пределами межсетевого экрана — внешними угрозами, злоумышленниками и связанной с ними инфраструктурой.

PassiveTotal дает аналитикам SOC и хантерам доступ к терабайтам консолидированных и обогащенных данных о сети Интернет, необходимых для исследования злоумышленников и их инфраструктуры. Сервис предоставляет исторические наборы данных о сети Интернет, собираемые с 2009 года, в простом и наглядном визуальном интерфейсе.

PassiveTotal Россия

Работу в PassiveTotal можно начать с простого поиска по идентификатору взлома (IOC) или подозрительному артефакту, который вы нашли в ваших логах, например, домену, IP-адресу или адресу электронной почты, после чего RiskIQ отображает все данные, которые сервис обнаружил в отношении этого артефакта.

Наборы информации в PassiveTotal

PassiveTotal предоставляет доступ к следующей информации:

  • Данные пассивного DNS,
  • Регистрационные данные WHOIS и данные регистраторов (текущие и исторические),
  • Информация о сертификатах SSL,
  • Хэши связанных вредоносов,
  • Ссылки на аналитику по угрозам (OSINT),
  • Поддомены,
  • Куки,
  • Информация о веб-трекерах, находящихся на страницах, в том числе Google Analytics, Яндекс, Vk, Clicky, New Relic и др.,
  • Информация о веб-компонентах — сведения о программном обеспечении и платформах, работающих на веб-серверах,
  • Пары хостов — связи между веб-страницей и последующими запросами с этой страницы.

Многие из этих данных уникально доступны благодаря собственной инфраструктуре краулеров RiskIQ, так называемых «виртуальных пользователей», которые посещают различные Интернет-ресурсы из различных точек мира, «смотрят» на сайты глазами обычных пользователей и собирают полученные данные.

Визуализация и контекст Интернет-данных

Два инструмента PassiveTotal позволяют наглядно увидеть активность Интернет-ресурса и понять, что за ним стоит.

Первый инструмент, Heatmap (тепловая карта), наглядно показывает, когда и сколько IP-адресов были присвоены хосту, когда они появлялись впервые, когда их не было, когда у домена был маршрутизируемый IP, и когда нет.

Пример тепловой карты по резолвам RiskIQ PassiveTotal

Второй инструмент называется Analyst Insight (инсайт аналитиков), и, совместно с тэгами, он указывает на принадлежность индикатора к различным категориям и классификациям ресурсов, а также отражает различные наблюдения и особенности индикаторов.

Analyst Insight (инсайт аналитиков) и тэги индикатора, связанного с Carbanak

Корреляция событий внутри периметра и внешних угроз

Внутренние системы защиты информации постоянно генерируют алерты на основе событий и аномалий, происходящих внутри организации. Зачастую алерты генерируются из-за действий, которые начинаются за периметром, или, наоборот, из-за попыток внутренних хостов связаться с определенным ресурсом вне периметра. В таких случаях алерты должны быть быстро обогащены для понимания контекста и приоритизации данных для последующего расследования.

PassiveTotal обеспечивает специалистов ИБ инструментами, необходимыми для проведения расследований и корреляции внутренних аномалий или индикаторов взлома (IOC) с злоумышленными группировками, их тактиками, техниками и процедурами (TTP), а также инфраструктурой, которую они используют.

PassiveTotal помогает ответить на следующие вопросы:

  • Кто меня атакует?
  • Откуда они?
  • Какие еще ресурсы им принадлежат?

Программный доступ к данным PassiveTotal (API)

Знания об Интернет-инфраструктуре полезны для предоставления контекста в различных СЗИ, в том числе в TIP, SOAR и SIEM-системах. Для этого заказчика доступен программных доступ к данным RiskIQ PassiveTotal.

Для SOC крупных компаний, сервис-провайдеров и MSSP доступен также и масштабный API с доступом к исходным данным сервиса, который называется RiskIQ SIS (Security Intelligence Services). RiskIQ SIS открывает доступ к информации с частотой до 250.000 запросов в день, и включает данные pDNS, Whois, сертификатов SSL, связанных хостов, трекеров, веб-компонентов и куки.

Дополнительно в рамках SIS доступны аналитические датасеты, такие как новые домены, новые хосты, а также домены, IP-адреса, URL в четырех категориях — вредоносы, фишинг, скам и контентный фильтр (игры, оружие, сайты для взрослых и т.п.).

Бесплатный доступ к PassiveTotal

Всем пользователям доступен доступ к бесплатной версии PassiveTotal, ограниченой по числу запросов в день.


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Москва
+7 (499) 504-16-70
Информационные технологии

Компания Тайгер Оптикс была основана в 2010 году и является специализированным дистрибьютором инновационных решений в сфере информационной безопасности.

Мы помогаем компаниям снижать риски, связанные с информационными технологиями, и защищать данные на всем протяжении корпоративной инфраструктуры – от дата-центра до конечных точек – рабочих станций, удаленных офисов и мобильных устройств.

За время работы Тайгер Оптикс впервые вывел на рынки России, Казахстана, Украины и других стран СНГ такие бренды как Senetas, VMware AirWatch, Good Technology, Palo Alto Networks, TIBCO LogLogic, Аванпост и другие. 

Тайгер Оптикс работает на всей территории русскоязычной Восточной Европы и Центральной Азии, осуществляя продажи и оказывая техническую поддержку через сеть авторизованных партнеров.




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>