每个 SOC 分析师都知道这种挫败感。SIEM 每天生成数百个警报,有时甚至数千个警报。
每个警报都需要关注,但在时间和资源有限的情况下,您如何有效地确定优先级?单独调查每个警报会使团队反应灵敏、不堪重负,并最终容易受到混入背景噪音的复杂攻击。
警报分类困境:淹没在数据中,渴望上下文
挑战不仅在于数量,还在于数量。这是上下文。在您的网络中标记的 IP 地址可能看起来无害,直到您发现它已经积极针对您所在行业的公司数周了。
看似良性的文件哈希可能是已经损害竞争对手的更广泛活动的一部分。如果没有这种更广泛的情报情况,即使是熟练的分析师也会一只手被绑在背后。
威胁行为者可以建立持久性、泄露数据并在数小时甚至几分钟内消失。您的检测能力需要与这种速度相匹配,不仅可以准确地识别威胁,还可以在第一次接触时立即识别威胁。
这就是集体防御概念变得无价的地方。虽然您的组织可能是第一次看到特定指标,但全球安全社区可能已经反复遇到它。
挑战在于以可作的实时格式访问这些集体知识,并无缝集成到您现有的工作流程中。这是像 ANY 这样的服务所面临的挑战。RUN 的威胁情报查找接受。
威胁情报查找主页:搜索 IOC、探索 TTP、使用 YARA 规则
行业作为目标:你并不孤单
攻击者很少孤立地针对个别公司。它们针对行业、供应链和地理区域。如果您从事金融服务行业,而您的竞争对手受到攻击,那么您很可能是下一个。
如果您是医疗保健提供者,并且您所在地区的类似组织正在受到损害,请考虑一下自己是借来的。
威胁行为者投入大量资源来了解特定的垂直行业,开发针对特定业务环境优化的专用工具和技术。
一旦他们针对您所在行业的一个目标磨练了他们的方法,他们就会在类似的组织中系统地应用这些经过验证的方法。
为什么外部事件数据是无价的
有关针对行业同行的攻击的情报不仅仅是有趣的背景。这是预测智能。
当分析师了解针对其行业的持续活动的全部范围时,他们可以主动寻找早期指标,而不是等待攻击在其环境中完全显现。
您的 SOC 会看到您的网络中发生的情况。但攻击者正在许多受害者中重复使用域、IP、样本和行为。
访问来自其他公司的事件数据为您提供了一条捷径:您无需花费数小时来确定警报是否是恶意的,而是可以立即检查真实世界的攻击数据。
任何。RUN 威胁情报查找:即时 IOC 验证
借助威胁情报查找,SOC 分析师可以:
- 输入 IOC(哈希、IP、域、URL 或文件)。
- 立即查看它是否出现在数千个 SOC 中观察到的真实世界攻击中。
- 获取恶意软件系列、行为和活动时间戳等上下文。
- 验证警报是否指向真实的、持续的威胁,或者仅指向背景噪音
这将警报分类从手动、耗时的验证转变为以实时攻击证据为后盾的快速、自信的决策。
Start using TI Lookup for free to make quick decisions on possible threats: Sign up to start.TI 查找可探索的威胁数据的来源是 ANY。RUN 的交互式沙盒。
全球超过 15,000 个 SOC 每天使用它:这些组织的分析师使用 ANY 引爆可疑文件、调查恶意软件行为并分析攻击活动。RUN 基于云的环境。这创建了一个前所未有的实时攻击情报存储库。
对于威胁分析师和猎人,ANY.RUN 的威胁情报查找提供:
- 更快的会审:立即确认警报 IOC 是否与实时攻击相关联。
- 减少疲劳:通过在几秒钟内检查 IOC,减少手动调查的时间。
- 更高的检测置信度:发现在其他地方使用相同基础设施的对手。
- 更好的搜寻:以相关 IOC 为中心,发现环境中的隐藏连接。
- 集体防御:利用全球 15,000 个 SOC 的见解来加强您自己的 SOC。
TI Lookup 的实际应用:如何使用它
任何。RUN 的威胁情报查找以免费计划提供,搜索参数有限,允许完成基本的分析师任务。
让我们以上述用例为例,看看它是如何工作的:在您的系统中检测到可疑的 IP 地址。查找并立即获得判决:
IP 查找结果具有快速判定和附加 IOC
我们可以看到,该 IP 已被标记为恶意,并在最近的事件中被发现。如需更多上下文,我们可以切换到“分析”选项卡,并快速发现它属于 Agent Tesla 间谍软件:
目的地IP:“173.254.31.34”
在沙盒中分析的恶意软件样本,通过 IP 搜索找到
高级安全运营的高级功能
当您准备好升级时,高级计划会将 TI Lookup 转变为全面的安全情报平台:
- 高级搜索作:超过 40 个搜索参数和复杂的运算符(AND、OR、NOT)可实现精确的威胁搜寻和调查工作流程。
- 完整的攻击可见性:访问所有可用的分析会话,而不仅仅是最近的 20 个,提供全面的历史背景。
- 私人情报:在不向其他用户可见的情况下进行机密搜索和调查,保护敏感的安全作。
- 持续监控:当新威胁符合您指定的条件时,搜索更新功能会提供自动警报,确保您的团队在新兴活动中保持领先地位。
- 专家分析:TI 报告来自 ANY。RUN 的分析团队提供有关各行各业的攻击趋势和威胁行为者活动的战略见解。
下面是可在高级计划中使用的查找搜索查询示例:更多搜索参数 (registryKey、registryValue) 和运算符 (NOT) 可用;找到了 500 多个沙盒会话,以便分析师可以观察某些恶意软件行为。
registryKey:“\Run$” AND registryValue:“.url$” NOT threatName:“darkvision”
演示通过 TI 查找发现的某些行为的恶意软件示例
请求对 TI Lookup 的完全访问权限以进行可作的威胁调查:联系 ANY。立即运行
拥抱集体防御的力量
现代威胁形势要求从孤立防御向集体智慧进行根本性转变。没有一个组织,无论规模或资源如何,都无法与全球协作带来的全面威胁可见性相媲美。
任何。RUN 的威胁情报查找代表了这种协作方法的实际应用:即时访问来自 15,000 个努力分析和理解活动威胁的 SOC 的情报。
在攻击者在全球威胁环境中共享技术、工具和目标的世界中,防御者必须以平等的协调和实时情报共享来做出响应。
任何。RUN 的威胁情报查找提供即时访问基础设施,使这种集体防御变得实用和可作。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
