背景:ThreatConnect 成立于 2011 年,是一家威胁情报公司,主打产品是提供威胁情报平台,这套平台提供三个主要功能,整合情报、分析情报和支撑行动。本文主要介绍其分析情报的能力。希望通过此次介绍,让大家了解到国外的威胁情报状况,了解到威胁情报的价值。
01 摘要
本 ESG 实验室审核记录了 ThreatConnectTC Analyze 的实际测试,以验证其减少组织响应安全事件和威胁的平均时间的能力。我们专注于 TC Analyze 如何帮助安全运营中心(SOC)和事件响应(IR)分析师丰富威胁数据并创建有关已识别威胁的信息,导入文件或电子邮件以提取潜在威胁,管理与特定威胁和事件相关的行动项目,并创建自定义仪表板。
02 挑战
ESG 和信息系统安全协会(ISSA)的研究表明,70%的网络安全专业人员认为全球网络安全技能短缺已经影响了他们的组织。基于这项研究,很明显大多数组织没有足够的网络安全人员和/或必要的网络安全技能。企业必须调查和响应的安全事件数量呈指数级增长;新系统和应用程序的激增正在创建更多安全事件场景,而更好的检测工具正在生成更多警报。网络安全技能的短缺使得仅仅增加更多人员就难以应对这些安全挑战。
ESG 研究还表明,网络安全环境变得越来越难以管理,72%的受访者表示今天的网络安全分析/运营比两年前更加困难.2 组织的关键资产,如知识产权,客户信息和财务数据越来越容易受到损害。违规的后果非常严重,包括经济处罚,对品牌和公司估值的影响以及诉讼。组织需要一种解决方案,使安全专业人员能够快速分析和响应事件,同时持续构建内部威胁情报,以缓解技能短缺。
03 解决方案:TC Analyze
TC Analyze 为安全分析师提供有关已知威胁的收集情报的见解,并利用该情报发现潜在威胁。通过来自开源或基于收费的安全情报源的提要,TC Analyze 可聚合和过滤现有数据,使组织能够确定行动的优先级,并教育当前和未来的分析师应对不断变化的威胁形势。 TC Analyze 允许分析师:
提取文件 - 提取潜在威胁并开始跟踪它们。
以 TC Analyze 中的现有威胁情报为基础,在整个组织内分享这些知识。
通过将任务分配给其他团队成员来管理事件和对其解决的威胁。
创建自定义仪表板 - 跟踪特别感兴趣的事件。
TC Analyze 可以最好地为那些希望减少响应威胁的平均时间的安全团队提供服务,因为他们面临着越来越多的数据需要消费,分析和理解。
图 1. ThreatConnect TC Analyze
04 ESG 实验室测试
ESG 实验室首先研究了 TC Analyze 如何使用搜索功能标记潜在的入侵(参见图 2)。值得注意的是,此功能是 ThreatConnect 免费提供的 TC Open 的一部分。在这种情况下,单击左上角--bad.com 上的搜索图标 - 显示包含匹配项的指示符列表。数据来源以蓝色文本列出,TC Analyze 自动计算总体威胁评估分数,以帮助用户相对于彼此评估指标而无需任何人工分析。分数越高,分析师就会优先处理要解决的最关键威胁。
点击分数最高的指标打开左侧的详细信息视图,其中显示了信心评级,来自组织订阅的情报来源。信心评级告知了威胁导致问题的可能性。
图 2.使用 Search 查找并优先考虑入侵
威胁情报本质上是一种关系数据集。主机解析为 IP 地址,IP 地址与攻击者,攻击者进行活动相关联。如何最好地提供这个拼图的各个部分。 ThreatConnect 提供智能的图形可视化。每个指标,组和标记的 “详细信息” 页面上都提供了图表视图。 ThreatConnect 提供了几个选项来控制图表上显示的节点数量和类型,以简化分析(参见图 3)。在左侧,木马 Heriplor(橙色圆圈)通过一系列文件哈希(蓝色和橙色线)在我们的测试环境(深蓝色)中连接两个单独的事件。该视图在第二张图片中展开,以识别野外的模式和活动。
图 3. ThreatConnect 图表视图
然后,ESG 实验室研究了 TC Analyze 如何通过摄取电子邮件和提取 IOC 来帮助构建组织的威胁情报(参见图 4)。我们首先在 ThreatConnect 中设置一个电子邮件地址,以接收网络钓鱼邮件,然后将示例邮件转发到该地址。我们注意到 TC Analyze 可以帮助分析师查看所有网络钓鱼电子邮件收件箱和相关的风险评分,评估威胁严重性,并优先关注这些项目。
图 4.创建收件箱以收集网络钓鱼电子邮件
发送网络钓鱼电子邮件后,TC Analyze 提取相关指标并分配风险评分。在屏幕上详细说明了有关 FWD:Free VisualStudio 电子邮件的编译情报,我们点击了 UpdateAnalysis 按钮来检查整个电子邮件正文(参见图 5)。当我们点击导入,分数和指标选项时,我们提取了电子邮件内容,确认了高威胁评级,并发现了另一个潜在的恶意 URL。 TC Analyze 通过搜索其相关的情报来源确定了这一点,并发现该指标已经存在于当前的 ThreatConnect 平台中。 TC Analyze 保存了此特定 URL,以构建与电子邮件地址关联的现有威胁情报,从而在将来再次遇到 URL 时通知其他分析人员。
图 5.从导入的网络钓鱼电子邮件中提取关联指标
分析师还可以使用 TC Analyze 创建潜在的跟踪威胁。 ESG 实验室使用来自广泛使用的情报来源 FBI 的报告检查了这个用例。我们提示 TC Analyze 提取文件并提取任何包含的 IOC。我们开始创建一个名为针对选举系统的目标活动的威胁。然后,我们输入了详细信息,例如与跟踪器关联的组织名称,威胁的摘要标题,说明和标签,然后单击 “保存”(图 6 中的橙色按钮)。
图 6.通过从文件中提取 IOC 来创建新威胁
然后,ESG 实验室观察了分析师如何输入特定于此威胁的关联。根据 ThreatConnect,威胁被定义为 “由对手或对手团队执行的一系列常见基础设施,恶意软件和战术定义的活动组。” FBI 报告包含 IOC,提醒分析师突出显示的威胁。单击 “保存” 按钮后,TC Analyze 将提取指标,如图 7 所示。如上例所示,我们将表示 FBI 报告的文件图标拖到 “上载” 标题下方的框中。
图 7.提取特定威胁的关联
在创建威胁之后,ESG 实验室随后观察了分析师如何将相关任务分配给其他同事。从威胁记录,针对选举系统的目标活动开始,我们点击任务菜单,然后点击新建按钮。我们继续填写 “编辑任务” 窗口中的字段,例如受理人,截止日期和说明。单击 “保存” 后,“任务” 列表中将显示名为 “调查” 的任务。我们还观察到,点击任务后,TC Analyze 导航回威胁记录。 ESG 实验室指出,受让人可以在完成任务时向威胁记录添加其他信息。鉴于分析师可以分配与特定威胁相关的任务,ESG 实验室会注意到工作流程如何促进安全分析师团队内的协作和问责制,从而有助于缩短响应威胁的时间。
图 8.为分析师创建和分配任务
最后,ESG 实验室研究了分析师如何创建自定义仪表板。我们单击菜单栏上的仪表板以显示下拉菜单。单击 NewDashboard 后,我们在 Create a NewDashboard 弹出窗口中键入 “TestDashboard”(参见图 9)。然后,我们看到了允许用户添加卡片并根据提供的小部件(例如,“开始调查” 和 “我的活动事件”),度量标准(例如,计算活动或指标随时间变化)和查询来自定义内容的屏幕。
图 9.创建一个新的仪表板
ESG 实验室还观察了如何向仪表板添加查询(参见图 10)。分析师可能需要随时跟踪查询结果,以发现特定事件或可能趋势的频率。我们从仪表板下拉菜单导航到 Acme Corp 仪表板,单击一张卡中的向下箭头,然后选择编辑。在 “添加新卡” 弹出窗口中,我们注意到分析师用于跟踪查询的字段,包括用于生成查询的语言(使用 ThreatConnect 的内部查询语言),查询源(例如,智能源),度量标准类型,时间段和图表类型(例如,行或条)。 ESG 实验室发现,分析师可以自定义仪表板,将注意力集中在关键项目上,同时帮助持续构建组织的威胁情报知识库。
图 10.向 Custom Dashboard 添加新查询
05 为什么重要
随着组织应对越来越多的数据泄露和网络攻击,安全分析师必须不断消费,理解和利用来自多个来源的数据,确定适当的行动,并及时传达这些行动。组织需要的工具不仅可以帮助他们理解和识别当前和新出现的威胁,还可以了解何时以及如何应对这些威胁。
TC Analyze 可以使安全团队使用来自多个来源的数据并提取威胁上下文,从而使团队能够优先考虑那些存在最明显和最危险的人。该解决方案还使分析师能够通过任务分配和其他见解在 TC Analyze 中提供团队沟通,从而协作应对这些威胁。 TC Analyze 还支持更全面的数据分析,利用已收集,分析和组织的数据来发现组织可能以前未跟踪过的潜在威胁。
ESG 实验室验证了 TC Analyze 可以帮助安全分析师团队减少响应威胁的平均时间。我们以多个安全情报来源的报告形式提取新数据。 TC Analyze 解析并提取与已知威胁相关的数据,计算评级和分数,以便对分析师的威胁严重程度进行教育。 ESG 实验室还研究了 TC Analyze 如何提取通知分析师特定威胁存在的关键指标。对于任何已识别的威胁,我们了解了分析师如何将任务分配给同事,使分析师团队能够就威胁解决方案进行协作。最后,TC Analyze 支持创建自定义仪表板,将分析师的注意力集中在关键事件上,使他们能够在出现问题时快速做出响应。
06 最大的真相
ESG 研究证实,网络安全格局变得越来越复杂,难以管理.3 知识产权,客户信息和财务数据越来越容易受到损害,这可能导致严重后果,包括经济处罚,对品牌和公司估值的影响和法律诉讼。企业必须调查并应对急剧增加的安全事件;新系统和应用程序的激增正在创建更多安全事件场景,而更好的检测工具正在生成更多警报。作为整体安全计划的一部分,组织需要强大的分析来快速响应事件。
TC Analyze 旨在实现集中数据丰富,事件和任务管理,为数据提供上下文,使用防御工具启用和推荐操作,并帮助组织做出更快,更明智的安全决策。 TC Analyze 将开源和高级供稿与来自组织内部工具的数据相结合,创建了一个威胁情报池,内置了人员和工具的反馈循环,返回 TC Analyze,不断提高智能。
在 ESG 实验室测试中,TC Analyze 展示了从与已知威胁相关的多个安全情报源收集和丰富威胁数据的能力,提供评级和分数,使分析师能够根据威胁严重程度确定其时间的优先级。 TC Analyze 从文件中提取关键指标,例如识别特定威胁存在的电子邮件。 TC Analyze 展示了自动将指标分配给相关工具和系统的能力,这可以使各个团队在威胁解决方面进行协作。 ESG 实验室使用 TC Analyze 快速轻松地创建自定义仪表板。自定义仪表板可以帮助分析师关注关键事件,使他们能够在出现问题时快速做出响应。
ESG 实验室验证了 ThreatConnect 的 TC Analyze 可以帮助组织克服网络安全技能与分析和响应能力的差距,同时持续构建内部威胁情报。对于希望超越传统 SIEM 平台功能并在整个环境中利用威胁情报的组织,深入了解 ThreatConnect 的 TC Analyze 是值得的。
作者:Alex Arcilla,Validation Analyst; Tony Palmer, Senior Validation Analyst
极限翻译
本文转载自【https://www.sohu.com/a/304159541_822985】
声明:本文来自极限安全资讯,版权归作者所有。文章内容仅代表作者独立观点,不代表本人立场,转载目的在于传递更多信息。如有侵权,请联系 2769905554@qq.com。