DOE AGORA Qualquer valor

Cymon é um agregador de inteligência Cymon is an open source threat intelligence aggregator.

ESentire CYMON.io

FORNECEDOR:

ESentire

PREÇO:

Sem custo.

RESUMO

Esta é outra das nossas ferramentas de trabalho. Cymon é um agregador de inteligência de ameaça de código aberto. Ingesta mais de 180 fontes diariamente para rastrear malware, phishing, botnets, spam e muito mais. Mais de 20.000 IPs únicos são adicionados ao banco de dados Cymon todos os dias. Até o momento, a Cymon registrou mais de seis milhões de endereços IP e mais de 33,7 milhões de eventos de segurança. No SC Labs usamos o Cymon para backstop praticamente todas as nossas outras ferramentas.
Quando identificamos um IoC em uma de nossas ferramentas, geralmente testamos o indicador em outras ferramentas para garantir que possamos todos os dados sobre ele. Cymon é, invariavelmente, a nossa primeira parada. No entanto, há muitas vezes que somos conscientes de um indicador e ele não aparece em uma ou mais das nossas ferramentas. Nesse caso, é uma aposta bastante certa de que Cymon pode nos dizer algo sobre isso.
Em seu coração a ferramenta é um banco de dados muito grande de dados de inteligência de ameaça. Esses dados podem ser pesquisados ​​por IP, domínio, URL ou hash. Ao realizar uma pesquisa, muitas informações podem estar disponíveis. Dizemos "pode ​​ser" porque Cymon extrai seus dados de uma grande variedade de fontes. As informações que essas fontes fornecem dita as informações que Cymon pode fornecer para você - com uma exceção.
Essa exceção é o conjunto de listas de inteligência da eSentire, a organização que fornece Cymon. Esses dados agregam um enriquecimento significativo aos dados de fontes externas. O resultado final pode ser qualquer coisa, desde tidbits tentadora em um indicador muito novo para uma história completa, talvez com detalhes de malware, para os indicadores mais maduros. Assim, dado que o Cymon tem acesso ao seu próprio conjunto de dados, é realmente muito mais do que apenas um agregador.
Este conjunto de dados - tanto a fonte eSentire como as fontes externas - permite uma análise histórica bastante aprofundada de um indicador. Realmente não importa o que sua razão para analisar um indicador é - phishing, malware, violação, etc - os dados muito provavelmente estará lá. Por exemplo, pegamos um indicador de IP da coleção Steppe Grizzly e colocá-lo em Cymon.
A ferramenta retornou com dados de várias fontes de relatórios: botscout.com, labs.snort.org, tor.dnsbl.sectoor.de, xbl.spamhaus.org, dnsbl.httpbl.org, zen.spamhaus.org, cbl.abuseat. Org, e urlquery.net. Estas são as fontes de relatório para o indicador que pesquisamos. Ele mostrou um cronograma que remonta a maio de 2016 e há links para as conclusões específicas de cada uma das fontes de dados. Isso permite que os analistas criem uma cadeia de evidências que é suportada pela proveniência apropriada. Ele também permite mais escavação no indicador.
Tomando o Grizzly Steppe indicador escolhemos os dados botscout.com. Isto deu-nos o nome do bot servido a partir do IP (implicando que o IP é um C2), bem como o endereço de e-mail utilizado pelo bot. Continuando nossa escavação no botscout, nós encontramos que há pelo menos um outro bot que está sendo relatado. Tudo isso está em um cronograma conveniente dentro Cymon.
Além disso, para o nosso indicador, vemos o domínio, a localização do IP e seus vizinhos IP, bem como URLs conectados a ele. Se houvesse hashes disponíveis que associado, provavelmente teríamos visto eles também. Aqui é onde outras ferramentas funcionam bem com o Cymon. No nosso caso, não vimos hashes associados com o nosso indicador. Isso não significa que não há nenhum. Significa simplesmente que as entidades relatoras não relataram nenhuma. Então nós fomos para Cisco Investigar, entrou em nosso IP e imediatamente viu um hash que está associado com o nosso indicador. Girando na informação de Investigate, nós encontramos que o hash é para o ransomware de Cerber. Este é um exemplo de quão bem Cymon trabalha com outras ferramentas para apoiar o analista.
Se você tem um nome de domínio que você acha que pode ter sido gerado por um algoritmo de geração de domínio (DGA), você pode alimentá-lo para Cymon e determinar se, na verdade, era. Esse é um possível indicador de atividade bot. No nosso caso, a DGA não foi suspeitada.
Esta é uma excelente ferramenta - certamente, o preço é certo - e tem, como você pode ver, um monte de recursos. Adicione a isso um conjunto completo de APIs REST e você tem um agregador de inteligência de ameaça muito poderoso.
DETALHES
produto  CYMON.io
empresa eSentire
Preço sem nenhum custo.
O que ele faz  agregador Threat inteligência.
O que nós gostamos Usa tantas fontes que é muito provável que tenha informações que outras fontes individuais não têm. Muito fácil de usar

Comentários

Ebook

Postagens mais visitadas