![初探威胁情报和威胁搜寻工具]( "初探威胁情报和威胁搜寻工具")
由于威胁情报这一术语很容易与威胁搜寻混淆,我们将首先努力概述它们之间的一些区别。
威胁情报是指通过汇总和丰富数据来创建可识别的特定网络攻击、恶意活动或攻击者能力的概况。
而威胁搜寻是指分析事件数据以查找网络中的异常和恶意行为的过程,这些行为可能表明攻击者入侵、数据被盗或其他损害。尽管威胁情报与威胁搜寻的目标不同,但它是威胁搜寻的绝佳出发点。
![初探威胁情报和威胁搜寻工具]( "初探威胁情报和威胁搜寻工具")
威胁情报工具
日常威胁情报(Yeti) 是一个平台,旨在满足安全分析师对集中多个威胁数据源的需求。分析师经常会处理诸如“这个指标是在哪里观察到的?”和“这些信息是否与特定攻击或恶意软件系列有关?”之类的问题。为了回答这些问题,Yeti 帮助分析师将入侵指标 (IoC) 以及攻击者所采用的策略、技术和程序 (TTP) 的信息组织在一个统一的存储库中。一旦获取,Yeti 就会自动丰富指标,例如通过解析域或地理定位 IP 地址。
![初探威胁情报和威胁搜寻工具]( "初探威胁情报和威胁搜寻工具")
![初探威胁情报和威胁搜寻工具]( "初探威胁情报和威胁搜寻工具")
Yeti 的突出之处在于它能够采集数据(甚至是博客文章)、丰富数据,然后将丰富的数据导出到组织威胁情报生态系统中使用的其他工具。这使分析师可以专注于使用此工具汇总威胁信息,而不必担心如何以机器可读的格式导入和导出数据。然后,丰富的数据可以与其他系统共享,以进行事件管理、恶意软件分析或监控。
为了进一步简化分析师的工作流程,Yeti 还提供了 HTTP API,可以通过命令 shell 和其他威胁情报工具访问该工具的全部功能。
管理信息系统供应商
MISP,即开源威胁情报和共享平台(以前称为恶意软件信息共享平台),是一种免费工具,用于在组织之间共享 IoC 和漏洞信息,从而促进威胁情报方面的协作。世界各地的组织使用该平台形成可信赖的社区,共享数据,以便将其关联起来,并更好地了解针对特定行业或地区的威胁。
![初探威胁情报和威胁搜寻工具]( "初探威胁情报和威胁搜寻工具")
该平台不再通过电子邮件和 PDF 文档发送 IoC,而是帮助协作组织更好地管理信息在它们之间的共享和集中方式。MISP 社区中共享的信息随后可以输入 Yeti 以进一步丰富。
开放CTI
与 Yeti 类似,开放网络威胁情报(OpenCTI) 是一个用于采集和聚合数据的平台,旨在丰富组织对威胁的了解。它得到了法国国家网络安全机构 ANSSI、欧盟计算机应急响应小组 (CERT-EU) 和 Luatix 的支持。
除了手动输入威胁数据外,OpenCTI 还提供连接器,用于自动从流行的威胁情报源(包括 MISP、MITRE ATT&CK 和 VirusTotal)获取威胁数据源和信息。还有其他连接器可用于使用 Shodan 等来源丰富数据,并将数据导出到 Elastic 和 Splunk 等平台。
![初探威胁情报和威胁搜寻工具]( "初探威胁情报和威胁搜寻工具")
鱼叉
Harpoon是一个命令行工具,附带一组 Python 插件,用于自动执行开源情报任务。每个插件都提供了一个命令,分析师可以使用这些命令通过其 API 查阅 MISP、Shodan、VirusTotal 和 Have I Been Pwned 等平台。分析师可以使用更高级别的命令一次性从所有这些平台收集与 IP 地址或域相关的信息。最后,其他命令可以查询 URL 缩短服务并搜索社交媒体平台、GitHub 存储库和 Web 缓存。
![初探威胁情报和威胁搜寻工具]( "初探威胁情报和威胁搜寻工具")
威胁搜寻工具
系统
尽管系统监视器(Sysmon)不是开源的,但它是一款免费的 Windows 工具,可监视和记录进程创建、网络连接、驱动程序和 DLL 加载以及文件创建时间戳修改等活动到 Windows 事件日志。由于 Sysmon 不分析系统数据,威胁猎手通常使用安全信息和事件管理 (SIEM) 工具来收集和分析 Sysmon 记录的数据,以查找网络中发生的可疑和恶意活动。
APT猎人
由于 SIEM 解决方案需要付费许可证,因此APT-Hunter是一种免费替代方案。APT-Hunter 于 2021 年发布,是一款开源工具,可以分析 Windows 事件日志以检测威胁和可疑活动。该工具目前包含一组 200 多条检测规则,用于识别恶意活动(例如传递哈希和密码喷洒攻击)以及其他可疑活动,以供威胁猎手手动检查。许多规则直接映射到MITRE ATT&CK知识库。
APT-Hunter 可以收集 EVTX 和 CSV 格式的 Windows 日志。执行后,APT-Hunter 会生成两个输出文件:
包含所有检测为可疑或恶意的事件的 .xlsx 文件。
可以加载到Timesketch中的 .csv 文件以按时间顺序显示攻击的进度。
DeepBlueCLI
DeepBlueCLI是 SANS Blue Team GitHub 存储库中提供的开源工具,可以分析来自 Windows 事件日志的 EVTX 文件。该工具解析记录的命令 shell 和 PowerShell 命令行,以识别可疑指标,例如长命令行、正则表达式搜索、混淆和未签名的 EXE 和 DLL;对用户帐户的攻击,例如密码猜测和密码喷洒;以及 Mimikatz、PowerSploit 和 BloodHound 等工具。
DeepBlueCLI 最初作为 PowerShell 模块发布,但也用 Python 编写以供类 Unix 机器使用。
威胁情报和威胁搜寻是组织安全团队日常工作流程中的互补活动。随着威胁领域出现新的恶意活动,组织必须能够分享他们所看到的知识,以便更详细地了解已知威胁的最新活动以及现场出现的新攻击者。安全分析师的任务是组织和关联来自多个有时是不同来源的数据。基于丰富的威胁数据,威胁搜寻者可以更轻松地识别其网络中的任何威胁并将其消除。
原文始发于微信公众号(三沐数安):初探威胁情报和威胁搜寻工具
评论