通過DNS分析檢測罪犯和國家
2020年10月5日 在Beplay体育安卓版本平台的博客
你是一個安全的醫生,一個數據科學家或安全數據工程師;你已經看到了大規模的威脅檢測和響應跟磚。但是你想,“我怎樣才能試著磚在我自己的安全行動?”In this blog post, you will learn how to detect a remote access trojan using passive DNS (pDNS) and threat intel. Along the way, you'll learn how to store, and analyze DNS data usingδ,火花和MLFlow。就像你知道的那樣,恰當的利用和網絡罪犯DNS。演員使用DNS協議的威脅指揮和控製或報警或解決攻擊者的領域。這就是為什麼學術研究人員和行業組織建議安全團隊收集並分析DNS事件打獵,發現、調查和應對威脅。但你知道,這並不像聽起來那麼容易。
檢測AgentTeslaRAT與磚
使用筆記本電腦解決方案加速器,你將能夠檢測到代理特斯拉老鼠。您將使用分析域生成算法(DGA),受害和威脅英特爾充實URLhaus。一路上你會學到的磚概念:
- 數據攝取
- 特別的分析
- 如何豐富事件數據,比如DNS查詢呢
- 模型構建和
- 批處理和流分析
為什麼使用磚嗎?因為安全分析並不是分析最困難的事。你已經知道分析大型DNS流量日誌是複雜的。同事在安全社區告訴我們,這些挑戰分為三類:
- 部署的複雜性:DNS服務器數據無處不在。雲、混合和多重雲部署使它具有挑戰性的收集數據,有一個數據存儲和運行分析持續整個部署。
- 技術的限製:遺留SIEM和日誌聚合方案不能擴展到雲數據量存儲、分析或ML /人工智能工作負載。尤其是當涉及到加入數據像英特爾充實的威脅。
- 成本:siem或日誌聚合係統負責數據攝取的量。有這麼多數據SIEM /許可和硬件需求使DNS日誌分析成本高昂。數據從一個雲服務提供商和移動到另一個也是昂貴和耗時。雲中的硬件導向或物理硬件的費用on-prem都安全團隊的威懾。
為了解決這些問題,安全團隊需要一個實時數據分析平台,可以處理雲級別的,無論它是什麼,分析數據本地支持流媒體和批量分析,內容合作,開發能力。beplay娱乐iosBeplay体育安卓版本和…如果有人能使整個係統彈性防止硬件提交…現在不會,很酷!
您可以使用此筆記本在community edition磚或部署自己的磚。有很多線,但是高水平的流程是這樣的:
- 讀被動DNS數據從AWS S3 bucket
- 指定的模式DNS和數據加載到三角洲
- 探索與字符串匹配的數據
- 構建DGA檢測模型。建立受害模型。
- 豐富的輸出從URLhaus DGA與英特爾威脅受害情況
- 運行分析和檢測AgentTesla老鼠
每個部分筆記本的評論。我們邀請你的電子郵件:(電子郵件保護)或提交問題Github回購。我們期待著您的問題和建議,使這個筆記本更容易理解和部署。
現在,我們邀請你,登錄到community edition或自己的磚帳戶和運行筆記本係列。我們期待你的反饋和建議。
- 去磚community edition
- 在左側導航中,單擊工作區
- 右鍵單擊空白的工作區麵板,點擊導入
- 選擇,導入從URL
- 粘貼這個鏈接的URL字段中
詳細請參考文檔說明進口要運行的筆記本。