来自 数据 2021-07-13 03:31 的文章

防御ddos_ddos防火墙需要开启吗_精准

防御ddos_ddos防火墙需要开启吗_精准

当引人注目的威胁浮出水面时,安全研究人员和从业人员往往会进行大量的信息共享。他们共享的信息可以以多种格式传递。例如,在最近围绕COVID-19爆发的恶意软件活动之后,您可以从以下位置获得妥协指标(IOCs):github误送文件共享额外的COVID-19资源可以在这篇文章的末尾找到。如果IOC在STIX/TAXII源中可用,则LogRhy客户可以使用LogRhy威胁情报服务(TIS)来摄取它们。如果IOC不能通过STIX/TAXII获得,您可能需要更具创造性。在这篇文章中,我们将探讨如何摄取通过文本文件共享的ioc。免费RiskIQ观察到的宿主提要2020年3月16日,RiskIQ宣布他们将提供一份"新观测到的与冠状病毒主题相匹配的基础设施"列表。他们在亚马逊网络服务(AWS)上以文本文件的形式共享该列表,并每天发布一个新文件。谢谢,RiskIQ!下载并准备RiskIQ的COVID-19域列表logrythym实验室准备了一个PowerShell脚本(covid19_域.ps1)从AWS下载RiskIQ IOCs并准备将其集成到logrythym NextGen-SIEM平台。您可以在GitHub上找到该脚本,并将其下载到logrymetry部署中的平台管理器。脚本执行以下功能:检查https://covid-public-domains.s3-us-west-1.amazonaws.com/获取最新的文件并下载。在logrymetry作业管理器的list_import目录中创建一个新文件,该文件被格式化为导入到列表中。注意:如果您希望IOC列表每天更新,阿里云轻量套高防cdn,您需要安排covid19_域.ps1每天运行的脚本。为列表导入准备RiskIQ数据您可以在图1中观察到,RiskIQ文件中的数据需要先清除,然后才能用作LogRthym列表。科维德19_域.ps1脚本执行清理步骤,例如从列表中删除搜索字符串和IP地址。图1。RiskIQ COVID-19域列表摘录清除数据后,服务器什么防御ddos,您的输出将如图2所示。图2。RiskIQ COVID-19域列表摘录,用于列表导入将域列表导入logrymetry列表科维德19_域.ps1脚本将准备好的数据输出到"C:\Program Files\LogRhy\LogRhy Job Manager\config\list\U import\covid_域名.txt".你需要创建一个logrymetry列表_域名.txt将被导入。在LogRhym控制台中,打开列表管理器并创建一个常规值列表(参见图3)。图3。在列表管理器中创建常规值列表接下来,根据图4和图5中的屏幕截图配置列表的属性。特别注意"将项目作为模式导入"复选框。启用"将项目作为模式导入"将在域名的开头和结尾添加通配符。确定根据此规则计算的字段是否可以与列表项完全匹配(例如,日志源将域解析为单独的字段),或者域是否只是解析为字段的字符串的一部分(例如,将完整的URL解析为一个字段)。在后一种情况下,只有模式匹配,并测试性能影响,因为通配符大列表可能会给AI引擎的资源需求增加大量开销。图4。COVID-19域列表:基本配置图5。COVID-19域列表:附加设置请注意,软件防御cc,使用上下文选择决定了logrymethynextgen SIEM中的哪些元数据字段可以与列表进行比较。应选择环境中包含域名的任何字段。完成与威胁情报服务(TIS)模块的集成背景为了完成COVID-19域列表与logrythym SIEM的集成,我们将利用威胁情报服务(TIS)模块的结构。本模块可通过logrythreshold知识库免费向所有logrymetry客户提供。这里和这里都可以找到TIS模块的部署信息。LogRhythm有内置的列表和AI引擎规则来支持对已知ioc的检测,这些ioc是随着TIS模块的发布而引入的。TIS模块使用一系列名为"LR Threat List"的嵌套列表,这些列表是为特定的使用上下文配置的(参见图6)。图6。TIS模块中包含的LogRhym威胁列表的抽样嵌套列表包含特定于供应商威胁源的列表,如图7所示。LR Threat List:URL:Malware List由特定供应商的恶意软件列表组成。图7。嵌套在URL:Malware列表中的供应商列表然后,AI引擎规则(如图8所示)引用LogRhym威胁列表,当日志的URL字段与URL:Malware threat list中的字符串匹配时,就会触发该规则。图8。来自Threat Intelligence Service模块的Malware:Threat List恶意软件URL规则要将COVID-19列表与TIS模块集成,请将其嵌套在LR威胁列表中,这些列表的使用上下文与您环境中的日志相匹配。图9演示了嵌套的一个示例。图9。COVID-19嵌套在URL中的年轻域列表:恶意软件列表最后,从TIS模块启用AI引擎规则。在调查中使用COVID-19青年域列表COVID-19 Young域列表不仅仅适用于AI引擎规则-你也可以在调查中使用它。如前所述,将值与长列表(特别是模式匹配列表)进行比较的AI引擎规则可能会给AI引擎带来资源开销。您可能需要定期进行调查。图10显示了在MicrosoftSysmon日志中搜索与COVID-19年轻域列表匹配的DNS查询(事件ID 22)的示例。图10。在MS Sysmon日志中搜索DNS查询图11显示了查询的结果,该结果显示用户对911运行了ping请求-covid.com网站.图11。MS Sysmon日志显示ping到911-covid.com网站总而言之威胁行为体将利用世界危机期间出现的紧迫感和好奇心,如COVID-19,吸引用户打开恶意电子邮件、访问恶意网站或传播误导性信息。威胁情报服务(TIS)和知识库模块提供了必要的框架,可将开源威胁情报纳入LogRhy,ddos防御节点,防火墙能防御ddos,并帮助您的团队访问最新的IOC。了解如何通过Palo Alto Networks检测年轻域名。本博客的作者包括实验室团队的以下成员:丹·凯泽、扎克·罗兰、安德鲁·霍利斯特、布赖恩·库尔森和詹姆斯·卡德。LinkedIn Twitter Facebook Reddit电子邮件