开源SOC实现（十三）-事件响应平台IRIS

上一期讲到告警推送至相关责任人/用户，对应的责任人/用户收到该告警信息后需要展开事件调查工作，如何通过工具协助用户完成时间响应调查成为了这一期分享的重点。对于事件响应平台比较耳熟能详的就是Hive，但今天给大家介绍的是另一个事件响应调查平台IRIS。‍‍‍‍‍‍‍

IRIS是一个协作平台，旨在帮助事件响应者在调查期间共享调查细节，提高工作效率，并具备以下几个特点。

Collaborate on incidentsAlertsExtensibleAPIEasy to deploy

IRIS的架构被分成5个Docker服务组成，分别为app、db、RabbitMQ、worker、nginx

各组件之间通讯使用端口均在图中标识。

先来看如何把IRIS成功部署到当前的环境中，根据官网介绍

IRIS is deployed with Docker Compose and can be set in a few minutes

 IRSI通过Docker进行部署。

https://docs.dfir-iris.org/getting_started/

//下载IRIS相关内容git clone https://github.com/dfir-iris/iris-web.git

cd iris-web//切换分支git checkout v2.2.2

cp .env.model .envvi .env

修改POSTGRES_PASSWORD以及POSTGRES_ADMIN_PASSWORD字段，保存配置退出。

//构建IRISsudo docker compose build//启动IRIS sudo docker compose up -d##运行上述命令前最好设置好终端全局代理，命令参考export ALL_PROXY=socks5://ip:port

容器运行起来后观察容器运行信息

docker ps

上图中观察到iriswebapp_nginx运行在443端口，使用浏览器访问

默认登录账号为administrator，密码为随机创建，需要查看容器日志获取

找到对应密码为L+0A##d}S0*AsfO

使用账号密码登录成功

‍

接下来带着大家一起通过一个案例进行事件响应Case。‍‍

登录IRIS后系统默认为你展示默认demo，#1 - Initial Demo如下图所示，一个Case分为几个部分，Summary、Notes、Assets、IOC、Timeline、Graph、Tasks、Evidences。

其中各部分的用途大致为以下

1. Summary为这个Case的总览信息，简要的描述谁在什么时间发生了什么事件，有多大的影响范围。

2. Notes用于备注关于该Case的相关信息，可能会包括谁处理了这个事件，或者是该事件对应资产的一些历史情况等。

3. Assets为该Case的资产信息，可能包含名称、类型、IP地址、标签信息等。

4. IOC为该Case中涉及的失陷指标信息，可能为IP地址、域名、文件Hash等。

5. Timeline为该Case中的事件发生时间线，可能涉及多个事件根据时间进行排序，还原事件发生顺序。

6. Graph为图形展示资产访问关系。

7. Tasks为该Case的任务列表，包含团队内协作，已完成的任务、进行中的任务或者是即将需要开展的任务。

8. Evidences为该Case中举证信息。

在Graylog上面发现Windows Server服务器WIN-SSACAETKIUA访问域名v[.]beahh[.]com为例进行调查响应。

登录IRIS平台进行Case录入

Summary为主机WIN-SSACAETKIUA，IP地址为192.168.116.174在UTC时间2023-06-23 04:13:29.574访问非业务域名v[.]beahh[.]com，请调查影响范围。

Notes信息如下展示

接下来录入Assets数据，切换到Assets标签页，点击右上角Add asset，依次输入Asset Name、Asset Type、IP信息，其他信息先保持默认

点击Save，添加完成如下图所示

切换到IOC页面，添加IOC信息，默认TLP状态为amber

TLP参考链接：https://www.cisa.gov/news-events/news/traffic-light-protocol-tlp-definitions-and-usage

配置完IOC信息后将IOC跟资产进行关联，切换回Assets标签，编辑刚才添加的资产

点击Update，更新完成如下图所示

切换到Timeline将该事件进行录入，点击右上角Add event，分别录入Event Title、Event Time、Event description、Event Source、Event tags等信息，并将事件跟资产以及IOC进行关联，勾选在Graph中展示

添加完如下图所示

Graph中将资产以及非业务域名的访问关系展示出来

Tasks标签中添加协作任务信息，点击右上角Add task，依次录入Assigned to、Status 、Task Title 、Description以及Task tags等信息

录入完成任务展示如下

调查结果在Evidences标签页中点击Register Evidence进行上传

至此完成该Case中第一次信息录入。（演示目的，于是也把Evidences中数据录入，该数据一般是Case闭环或者是阶段性结论后上传，一般第一次不会涉及该信息录入）

开源工具一般都会讨论可扩展性，开放性等一些概念，IRIS同样具备优秀的开放性。在IRIS控制台Advanced模块中找到Modules，在Modules中允许根据需求导入自己编写的Modules，威胁情报ViursTotal对应的Modules名称为IrisVT。

需要添加VT API Key后进行使用。注册ViursTotal账号后可以获取对应API Key信息。

将获取到的API Key信息填入该位置，即可启用该工具。

在Case中IOC标签可以联动ViursTotal查询实体对应的IOC情报。

参考链接：https://www.cisa.gov/news-events/news/traffic-light-protocol-tlp-definitions-and-usage

原文始发于微信公众号（Kali渗透测试教程）：开源SOC实现（十三）-事件响应平台IRIS