Het snel en efficiënt verwerken van waarschuwingen is de hoeksteen van de rol van een Security Operations Center (SOC)-professional. Threat Intelligence-platforms kunnen hun vermogen daartoe aanzienlijk vergroten. Laten we eens kijken wat deze platforms zijn en hoe ze analisten kunnen versterken.
De uitdaging: waarschuwingsoverbelasting
Het moderne SOC wordt geconfronteerd met een meedogenloos spervuur van beveiligingswaarschuwingen gegenereerd door SIEM’s en EDR’s. Het doorzoeken van deze waarschuwingen is zowel tijdrovend als arbeidsintensief. Voor het analyseren van een potentiële dreiging moet vaak in meerdere bronnen worden gezocht voordat sluitend bewijs wordt gevonden om te verifiëren of deze een reëel risico vormt. Dit proces wordt verder belemmerd door de frustratie van het besteden van kostbare tijd aan het onderzoeken van artefacten die uiteindelijk vals-positieven blijken te zijn.
Als gevolg hiervan blijft een aanzienlijk deel van deze gebeurtenissen ononderzocht. Dit benadrukt een cruciale uitdaging: het snel en nauwkeurig vinden van de noodzakelijke informatie met betrekking tot verschillende indicatoren. Bedreigingsdataplatforms bieden een oplossing. Met deze platforms kunt u elke verdachte URL, IP of andere indicator opzoeken en onmiddellijk inzicht krijgen in het potentiële risico ervan. Eén zo’n platform is Threat Intelligence Lookup van ANY.RUN.
Bedreigingsinformatieplatforms schieten te hulp
Gespecialiseerde platforms voor SOC-onderzoeken maken gebruik van hun databases met dreigingsgegevens, verzameld uit diverse bronnen. Neem bijvoorbeeld de Threat Intelligence Lookup (TI Lookup) van ANY.RUN. Dit platform verzamelt Indicators of Compromise (IOC’s) uit miljoenen interactieve analysesessies (taken) die worden uitgevoerd binnen de ANY.RUN-sandbox.
Het platform biedt een extra dimensie van bedreigingsgegevens: logboeken van processen, register- en netwerkactiviteit, inhoud van de opdrachtregel en andere systeeminformatie die wordt gegenereerd tijdens sandbox-analysesessies. Gebruikers kunnen vervolgens in deze velden naar relevante details zoeken.
Voordelen van bedreigingsinformatieplatforms
Beter inzicht in bedreigingen
In plaats van te vertrouwen op verspreide gegevensbronnen, bieden dergelijke platforms één enkel toegangspunt voor het zoeken naar IOC’s op verschillende gegevenspunten. Dit omvat URL’s, bestandshashes, IP-adressen, geregistreerde gebeurtenissen, opdrachtregels en registers, waardoor uitgebreidere identificatie en onderzoek van bedreigingen mogelijk is.
Snellere waarschuwingsonderzoeken
Wanneer zich een beveiligingsincident voordoet, is tijd van essentieel belang. TI-platforms helpen bij het snel verzamelen van relevante informatie over bedreigingen, waardoor een beter inzicht ontstaat in de aard van de aanval, de getroffen systemen en de omvang van de bedreiging. Dit kan de responsinspanningen aanzienlijk versnellen en verbeteren.
Proactieve jacht op bedreigingen
Threat Intelligence-platforms stellen teams in staat actief te zoeken naar bekende IOC’s die verband houden met specifieke malwarefamilies. Deze proactieve aanpak kan helpen verborgen bedreigingen bloot te leggen voordat deze escaleren tot grote incidenten.
Ze kunnen toegang bieden tot gegevens die potentiële kwetsbaarheden in verband met bekende bedreigingen aan het licht kunnen brengen. Deze informatie kan bijdragen aan risicobeoordelingen en organisaties helpen bij het prioriteren van beveiligingsinspanningen op basis van de meest urgente gevaren.
Bedreigingsanalyse en besluitvorming
Gewapend met gedetailleerde inzichten in het gedrag van malware kunnen teams nauwkeuriger bedreigingen analyseren en weloverwogen beslissingen nemen over inperking, herstel en toekomstige preventieve maatregelen. Deze continue leercyclus versterkt de algehele beveiligingspositie en teamcompetentie.
Voorbeelden van query’s op het Threat Intelligence-platform
Zoeken met individuele indicatoren
Stel je voor dat je vermoedt dat een gecompromitteerd systeem binnen je netwerk kwaadaardige bestanden downloadt. U wijst een specifiek IP-adres aan als de potentiële bron en besluit verder onderzoek te doen. Voer het IP-adres in de zoekbalk van een bedreigingsinformatieplatform in. Het platform markeert het adres onmiddellijk als kwaadaardig en gekoppeld aan de Remcos-malware, en biedt informatie over domeinen, poorten en zelfs bestanden die aan dit IP-adres zijn gekoppeld.
Het biedt ook toegang tot analysesessies waarbij dit IP-adres betrokken was en geeft een overzicht van de tactieken, technieken en procedures (TTP’s) die door malware tijdens deze sessies worden gebruikt.
U kunt elke sessie in detail bestuderen door er eenvoudigweg op te klikken. Het systeem brengt u naar de sessiepagina in de ANY.RUN-sandbox, waar u alle processen, verbindingen en registeractiviteiten kunt verkennen, evenals de configuratie en IOC’s van de malware kunt verzamelen of een uitgebreid dreigingsrapport kunt downloaden.
Flexibel zoeken met jokertekens
Een andere handige functie van platforms voor bedreigingsinformatie, zoals TI Lookup, is de mogelijkheid om jokertekens en gecombineerde zoekopdrachten in te dienen.
De zoekopdracht “binPath=*start= auto” gebruikt bijvoorbeeld het jokerteken asterisk en zoekt naar elke opdrachtregel met “binPath=” gevolgd door tekens die eindigen op “start= auto”.
Het platform retourneert honderd sessies waarin hetzelfde fragment verscheen. Bij nader onderzoek van de zoekresultaten blijkt dat dit specifieke opdrachtregelartefact kenmerkend is voor de Tofsee-malware.
Gecombineerde zoekopdrachten
Een andere optie voor het uitvoeren van een onderzoek is het bundelen van alle beschikbare indicatoren en deze voor te leggen aan het dreigingsinformatieplatform om alle gevallen te identificeren waarin deze criteria gezamenlijk voorkomen.
U kunt bijvoorbeeld een query samenstellen die zoekt naar alle taken (sessies) die zijn gecategoriseerd als ‘bestand’, uitgevoerd op Windows 7, met een 64-bits besturingssysteem, verbinding maakt met poort 50500 en de tekenreeks ‘schtasks’ bevat in de opdrachtregel .
Het platform identificeert vervolgens talloze sessies die aan de gespecificeerde criteria voldoen en biedt bovendien een lijst met IP-adressen die zijn getagd met “RisePro”, waarbij de verantwoordelijke malware wordt benadrukt.
Probeer Bedreigingsinformatie opzoeken
Met Threat Intelligence Lookup van ANY.RUN kunt u bedreigingen nauwkeurig onderzoeken. Analyseer processen, bestanden, netwerkactiviteit en meer. Verfijn uw zoekopdracht met meer dan 30 velden, waaronder IP’s, domeinen, geregistreerde gebeurtenissen en MITRE-technieken. Combineer parameters voor holistisch begrip. Gebruik jokertekens om uw bereik te vergroten.
Vraag een proefperiode aan en ontvang 50 gratis verzoeken om het platform te verkennen.
