Зачем аналитику SOC данные о сети Интернет
Аналитикам SOC и киберразведки, расследующим инциденты, необходима как можно более детальная и точная информация о злоумышленниках, их текущей и потенциальной инфраструктуре, в том числе IP-адресах, доменах, истории активности серверов, их взаимосвязях и так далее.
Эти данные помогают строить таймлайны инцидентов и активностей злоумышленника, находить связанную инфраструктуру и возможные другие источники взлома, пытаться предсказать будущие векторы атаки, а также провести атрибуцию злоумышленной кампании.
Все это возможно благодаря PassiveTotal — массивной базе знаний о сети Интернет.
Что такое PassiveTotal
RiskIQ PassiveTotal — это база знаний о сети Интернет, которая ускоряет расследования, позволяя связывать активность внутри периметра, такие как алерты, события и индикаторы компрометации (IOC) с тем, что происходит за пределами межсетевого экрана — внешними угрозами, злоумышленниками и связанной с ними инфраструктурой.
PassiveTotal дает аналитикам SOC и хантерам доступ к терабайтам консолидированных и обогащенных данных о сети Интернет, необходимых для исследования злоумышленников и их инфраструктуры. Сервис предоставляет исторические наборы данных о сети Интернет, собираемые с 2009 года, в простом и наглядном визуальном интерфейсе.
Работу в PassiveTotal можно начать с простого поиска по идентификатору взлома (IOC) или подозрительному артефакту, который вы нашли в ваших логах, например, домену, IP-адресу или адресу электронной почты, после чего RiskIQ отображает все данные, которые сервис обнаружил в отношении этого артефакта.
Наборы информации в PassiveTotal
PassiveTotal предоставляет доступ к следующей информации:
- Данные пассивного DNS,
- Регистрационные данные WHOIS и данные регистраторов (текущие и исторические),
- Информация о сертификатах SSL,
- Хэши связанных вредоносов,
- Ссылки на аналитику по угрозам (OSINT),
- Поддомены,
- Куки,
- Информация о веб-трекерах, находящихся на страницах, в том числе Google Analytics, Яндекс, Vk, Clicky, New Relic и др.,
- Информация о веб-компонентах — сведения о программном обеспечении и платформах, работающих на веб-серверах,
- Пары хостов — связи между веб-страницей и последующими запросами с этой страницы.
Многие из этих данных уникально доступны благодаря собственной инфраструктуре краулеров RiskIQ, так называемых «виртуальных пользователей», которые посещают различные Интернет-ресурсы из различных точек мира, «смотрят» на сайты глазами обычных пользователей и собирают полученные данные.
Визуализация и контекст Интернет-данных
Два инструмента PassiveTotal позволяют наглядно увидеть активность Интернет-ресурса и понять, что за ним стоит.
Первый инструмент, Heatmap (тепловая карта), наглядно показывает, когда и сколько IP-адресов были присвоены хосту, когда они появлялись впервые, когда их не было, когда у домена был маршрутизируемый IP, и когда нет.
Второй инструмент называется Analyst Insight (инсайт аналитиков), и, совместно с тэгами, он указывает на принадлежность индикатора к различным категориям и классификациям ресурсов, а также отражает различные наблюдения и особенности индикаторов.
Корреляция внешних угроз и событий внутри периметра
Внутренние системы защиты информации постоянно генерируют алерты на основе событий и аномалий, происходящих внутри организации. Зачастую алерты генерируются из-за действий, которые начинаются за периметром, или, наоборот, из-за попыток внутренних хостов связаться с определенным ресурсом вне периметра. В таких случаях алерты должны быть быстро обогащены для понимания контекста и приоритизации данных для последующего расследования.
PassiveTotal обеспечивает специалистов ИБ инструментами, необходимыми для проведения расследований и корреляции внутренних аномалий или индикаторов взлома (IOC) с злоумышленными группировками, их тактиками, техниками и процедурами (TTP), а также инфраструктурой, которую они используют.
PassiveTotal помогает ответить на следующие вопросы:
- Кто меня атакует?
- Откуда они?
- Какие еще ресурсы им принадлежат?
Программный доступ к данным PassiveTotal (API)
Знания об Интернет-инфраструктуре полезны для предоставления контекста в различных СЗИ, в том числе в TIP, SOAR и SIEM-системах. Для этого заказчики могут использовать программный доступ к данным RiskIQ PassiveTotal.
Для SOC крупных компаний, сервис-провайдеров и MSSP существует RiskIQ SIS (Security Intelligence Services), расширенный API с доступом к исходным данным сервиса. RiskIQ SIS дает доступ к информации с частотой выгрузки до 250.000 запросов в день, и включает следующие данные:
- pDNS,
- Whois,
- сертификаты SSL,
- связанные хосты,
- трекеров,
- веб-компоненты,
- куки.
Дополнительно в рамках SIS доступны аналитические датасеты, в том числе: новые домены, новые хосты, а также домены, IP-адреса, URL в четырех категориях:
- вредоносы,
- фишинг,
- скам,
- контентный фильтр (игры, оружие, сайты для взрослых и т.п.).
Бесплатный доступ к PassiveTotal
Всем пользователям доступен доступ к бесплатной версии PassiveTotal, ограниченой по числу запросов в день.