O AlienVault Open Threat Exchange (OTX) está entre as nossas ferramentas de inteligência de ameaças, indicadores podem ser bastante úteis ao proteger sua empresa.
AlienVault Open Threat Exchange (OTX)
FORNECEDOR:
AlienVault
PREÇO:
Sem custo.
O AlienVault Open Threat Exchange (OTX) está entre as nossas ferramentas de inteligência de ameaças mais úteis. É uma fonte aberta de indicadores de compromisso (IoCs) apoiados pela comunidade. Essa comunidade é composta por usuários do AlienVault e aqueles que não são clientes do AlienVault. Se você possui um aparelho AlienVault, no entanto, você pode consumir e contribuir automaticamente com o que a empresa chama de "pulsos". Neste texto, existem mais de 24.000 usuários que contribuíram com mais de 792.000 indicadores em mais de 6.000 pulsos. Cada pulso contém uma coleção de IoCs direcionados a um foco específico. Por exemplo, durante o frenesi recente sobre a Estepe de Grizzly havia seis pulsos contribuídos ao longo de quatro dias.
O acesso ao OTX é através do URL https://otx.alienvault.com/browse/pulses/. Uma vez na ferramenta você pode navegar pulsos ou pesquisa com base no adversário, autor, pulso, indústria e vários outros parâmetros. Você também pode se inscrever em determinados usuários e grupos para que você receba e-mails de novos impulsos contribuídos por essas entidades. Se você deseja contribuir pulsos, você pode criar uma conta sem nenhum custo.
Os indicadores podem ser de praticamente qualquer tipo que comumente associado com IoCs. O OTX reconhece, entre outros tipos, os blocos de endereços IPv4, IPv6, CIDR, CVEs, domínios, hashes, endereços de e-mail, nomes de host e URI / URLs. Particularmente interessantes são os métodos de pesquisa disponíveis que vão além de pesquisas individuais para permitir que tais técnicas como pivoting.
Por exemplo, se pesquisar nos COI associados à intrusão no Comitê Nacional Democrata, você encontrará um total de 20 indicadores, incluindo URLs, endereços IPv4, domínios e hashes de arquivos. Se você estiver interessado em onde mais determinado malware apareceu - um auxílio à atribuição - você pode clicar em cada hash de arquivos e ver se há pulsos relacionados. Um hash particular mostra dois. Clicar em mais detalhes nos dá os dois pulsos, um que sabemos sobre mas há um outro chamado "Túnel de Gov: DNC Hack eo XTunnel russo." Clicando em que nos dá mais alguns hashes.
Podemos copiar os valores de hash e alimentá-los para outro recurso, como VirusTotal, Invincea ou malwr.com. Isso expande o valor do indicador para ajudar a fornecer a atribuição (Invincea, por exemplo, não pôde confirmar ou negar a atribuição russa do malware XTunnel, mas determinou que ele foi criado para penetrar no DNC) e identificar outros malwares que podem ser do Mesma família.
O OTX também tem uma API que permite a conexão direta aos produtos AlienVault, bem como conectores para servidores TAXII, Suricata e Bro-IDS. Os pulsos podem ser baixados em CSV, OpenIOC 1.0 e 1.1 e STIX. Exportamos vários pulsos no formato STIX e fomos capazes de alimentá-los a uma ferramenta gratuita, chamada STIXViz, para visualização e análise posterior. Além dos recursos de downloads, busca e pivô do OTX, a comunidade é livre para comentar dentro de pulsos - adicionando uma dimensão de informação para além do próprio IoC.
Outro benefício do OTX é a capacidade de construir uma campanha com indicadores de compromisso. No STIX-talk, uma campanha tem indicadores, observáveis, atores, etc. Todos esses elementos podem estar disponíveis no OTX dependendo das contribuições da comunidade. No entanto, usando um editor STIX, como o Soltra Edge, esses componentes podem ser unidos para formar uma campanha rudimentar. A campanha preliminar pode então ser enriquecida por pulsos futuros e dados de outras fontes. O resultado é uma imagem completa que pode ser usada para pré-carregar dispositivos defensivos com dados necessários para afastar ataques baseados na campanha no futuro.
Mas a utilidade do OTX nesse sentido não requer os dados completos para uma campanha completa. Quaisquer indicadores podem ser bastante úteis ao proteger sua empresa. Se usado com produtos AlienVault ou exportado em um formato que outras ferramentas podem consumir, os indicadores nos pulsos no OTX são valiosos e em uma forma que seja facilmente consumível. Por exemplo, clicar em um determinado indicador fornece detalhes sobre o indicador derivado de uma variedade de fontes, como VirusTotal, dados whoIs, primeiro e último visto e várias outras fontes externas, como Alexa (proveniência de um URL) e URL Void ( Listas negras).
Nós gostamos da ferramenta e é um dos grampos no laboratório de SC. Para obter informações mais detalhadas sobre a OTX, vá aqui para o guia do usuário.
DETALHES
Produto Abrir Threat Exchange (OTX)
empresa AlienVault
Preço sem nenhum custo.
O que ele faz Reúne indicadores de comprometimento de uma grande comunidade de usuários e torna-los disponíveis em uma ampla variedade de maneiras.
O que nós gostamos integridade dos dados e flexibilidade das maneiras de usá-lo.
Comentários
Postar um comentário