Blog

A STIX/TAXII támogatás bejelentése az Active Threat Intelligence megoldásban

A Microfocus örömmel jelenti be ennek a támogatásnak az első kiadását, amely lehetővé teszi az aktív fenyegetettség felderítés használatának előnyeit azáltal, hogy integrálja a választott STIX (Structured Threat Information eXpression) vagy TAXII (Trusted Automated eXchange of Indicator Information) szervert.

Az aktuális kiadás fontosabb elemei:

Állítsa be az új aktiválási STIX/TAXII script-et, hogy valamelyik STIX1.2/TAXII 1.1 megfelelő TAXII szerverre mutasson. Tesztelve “hail a taxi”, Anomali Limo és AlienVault OTX alkalmazásokkal. Az STIX/TAXII scriptek betöltése a meglévő aktív fenyegetettség felderítő aktív listákban a szerveren lévő összes TAXII gyűjteményekben lévő összes STIX jelzőkkel. Az aktív fenyegetettség felderítő használati esetei pontosan ugyanúgy működnek, mint korábban, bármilyen változtatás nélkül.

A következő kiadások az alábbi nagy elemekre fognak összpontosulni:

Az STIX modellben kiterjesztett támogatás több fejlettebb objektumokra, különösen a kampányokban, a Threat Actor-okban és a TTPs-ben. A teljeskörű STIX modell megtalálható az ESM-ben, amely az elemzőknek biztosít részletesebb összefüggéseket a riasztások osztályozásánál. A fenyegetettségi felderítés kétirányú megosztásának engedélyezésével lehetővé válik, a STIX objektumok „áttolása” a TAXII szerverre.

A közösség érdekében tett erőfeszítésként, értékelnénk az Ön visszajelzését és hozzájárulását, hogy fejleszteni tudjuk a STIX/TAXI támogatását az ArcSight-ban.

Kezdje el a legújabb aktív fenyegetettségi felderítés megoldás felfedezését itt.

L1-Fenyegetettségi felderítés – mutatók és figyelmeztetések

Ennek a csomagnak a telepítése, megjeleníti és felügyeli a fenyegetettségi modellt, amely detektálja és összefüggéseiben vizsgálja a potenciális rosszindulatú tevékenységeket, amelyek a fenyegetettségi források területfüggő keverékéből származnak.  Ez a csomag a nyílt forráskódú CIF-et (Collective Intelligence Framework) használja fel arra, hogy összegyűjtse és normalizálja a nyílt forráskódú, tulajdonosi és belső forrásokból származó veszélyforrásokat. A FlexConnector ezután elküldi ezeket az adatokat az ESM-nek, ahol a szabályok betöltik a modellt. Maga a modell három aktív listából áll. Ez a csomag globális változókkal is rendelkezik, amely lehetővé teszi, hogy más tartalmakat is összefüggésbe hozzanak olyan eseményekkel, amely a fenyegettségi modellen alapszik, a speciális fenyegetettség mutatóval kapcsolatos metaadatok elérése által. Végül a csomag tartalmaz egy műszerfalat, amely a fenyegetettségi modell aktuális állapotát és történeti adatait mutatja meg.

Az L2 Situational Awareness Threat Intelligence Package az L1 csomagra épül, hogy felderítse és riportálja a rosszindulatú tevékenységeket a modell használatával. Bármely más ArcSight ESM tartalom is kihasználhatja ezt a modellt a potenciális rosszindulatú tevékenység észlelésére és kontextusba foglalására.

Fő felhasználási esetek

Az alábbiakban bemutatjuk a csomagban alkalmazott fontosabb használati eseteket:

1 eset: A Fenyegetettségi modell töltése különböző típusú felderítési hírcsatornákból

A fenyegetési modell három aktív listából áll. Minden aktív listát egy adott típusú mutató jelöli: IPv4 cím, IPv6 cím és entitás. Az entitás ebben az esetben URL, hoszt név, hash, felhasználói név vagy e-mail lehet. Ez a felhasználási eset rendszeres időnként telepíti a fenyegetettségi felderítési adatokat különféle felhasználó specifikus forrásokból gyűjtött, a nyílt forráskódú fenyegetésekkel, a tulajdonosi intelligenciával és az ügyfelek által létrehozott intelligenciával.

2. eset: a Fenyegetettségi Modell adatainak gazdagítása

A csomagban szállított globális változók lehetővé teszik bármely más ESM tartalom számára, hogy hozzáférhessen a fenyegetési modellben tárolt metaadatokhoz, egy mutató által.

3. eset: Fenyegetettségi Modell tevékenységeinek megjelenítése és riportolása

A műszerfal mutatja a fenyegetési modell aktuális állapotát, beleértve az aktuális mutatók számát, a mutatók típusát (botnet, malware stb.), megfigyelhető típus (ipv4, ipv6, fqdn, stb.) és egyéb hasznos információkat arról, hogy a fenyegetettségi modellt hogyan töltődött.

4. eset: Rejtett Cobra fenyegetettség észlelése

Az amerikai CERT IOC-ot (indicators of compromise) szolgáltat, hogy észlelhessük az északi koreai rosszindulatú kiber tevékenységeket, amelyet Rejtett Cobrának hívnak.

Kérdéseket intézhet, észrevételeket küldhet az S&T szakértőinek, kérem vegye fel velünk a kapcsolatot!

Menyhárt Csaba Menyhárt Csaba • Rendszermérnök

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük