攻击威胁情报平台的功能模块介绍

        当然,上述所有搜索都可以通过AND、OD等逻辑条件进行组合。例如path:/intel/*.exeANDbehavior_network:*/RguhsT/accept.php*AND。date:yesfile。此外,为了应对更复杂的规则,或者用于狩猎推送或扫描,可以支持yara、sigma、定制引擎等相应的规则文件。这个功能主要是根据一个文件搜索高度相似的文件。用于操作员拓展和追溯线索。当然,文件的相似性算法有很多,包括模糊hash、导出表、动态行为、字符串、代码块等。有很多具体的相似算法、专利和文章,这里就不具体展开了。

outputo-20210824-090433-892-bpqj.png

该功能适用于乙方安全运营商或甲方跟踪受控设备。主要包括:当前ioc趋势:每日/月/季/年终端数量趋势图;目前ioc的终端分布图,包括世界,中国,甚至身份,单位等等;ioc着陆终端的信息包括着陆时间、ip、地域等。访问、终端文件等。ip类会比较特殊,一种是出站访问,ip多为C&C等,适用于上述;另一种是入站、扫描器、攻击者或对设备感兴趣的相应ip,这种查询,也需要列出与ip相关的设备信息。终端信息:终端的基本信息(机器名称、系统版本、主板信息、MAC、单元等)。)、ip轨迹、过程信息、网络等。

协同合作平台。本功能适用于安全操作人员,在跟踪某一事件时,需要多人、多时间一起跟踪完成的场景。例如,创建一个调查事件,所有参与者都可以同步相应的线索、相关信息、描述和外部信息。

可采用表格,思维导图,图谱等形式。

分享: