معالجة التنبيهات بكفاءة وسرعة هي جوهر دور مركز عمليات الأمن الاحترافي (SOC). يمكن لمنصات الاستخبارات المتعلقة بالتهديدات تعزيز قدرتها على ذلك بشكل كبير. دعونا نتعرف على هذه المنصات وكيف يمكنها تمكين المحللين.
التحدي: تنبيه الزائد
تواجه الأمان الحديث مراكز العمليات وابلًا من التنبيهات الأمنية الصادرة من SIEMs وEDRs، والتي تتطلب غربلة طويلة وموارد كبيرة. تحتاج عمليات تحليل التهديدات إلى البحث في مصادر متعددة للعثور على دلائل واضحة لإثبات وجود خطر حقيقي، ولكن قد يؤدي الإحباط الناتج من الوقت المهدور في البحث إلى نتائج خاطئة.
ونتيجة لذلك، لا زالت العديد من هذه الأحداث بدون تحقيق. وهذا يبرز التحدي الحاسم: العثور على المعلومات الضرورية المتعلقة بالمؤشرات المختلفة بسرعة ودقة. منصات بيانات التهديد توفر حلاً لهذه المشكلة. تتيح للمستخدم البحث عن أي عنوان URL أو عنوان IP أو أي مؤشر مشبوه آخر والحصول على تحليل فوري للمخاطر المحتملة. أحد هذه الأنظمة الأساسية هو Threat Intelligence Lookup من ANY.RUN.
منصات استخبارات التهديدات للإنقاذ
تستفيد منصات مركز العمليات الأمنية (SOC) من قواعد بياناتها الخاصة بتهديدات الأمان المجمعة من مصادر مختلفة، مثل بحث معلومات التهديدات التي يقوم به موقع ANY.RUN (بحث TI). تقوم هذه المنصة بجمع مؤشرات التسوية (IOCs) من الملايين من جلسات التحليل التفاعلية (المهام) التي تجرى ضمن صندوق الحماية ANY.RUN.
تقدم المنصة بعدًا إضافيًا للبيانات المتعلقة بالتهديدات، مثل سجلات العمليات ونشاط التسجيل والشبكة ومحتويات سطر الأوامر ومعلومات النظام الأخرى التي تم جمعها خلال جلسات تحليل وضع الحماية. يمكن للمستخدمين بعد ذلك البحث عن التفاصيل ذات الصلة من خلال هذه الحقول.
فوائد منصات استخبارات التهديدات
رؤية أعمق للتهديدات
بدلاً من الاعتماد على مصادر بيانات مبعثرة، توفر هذه البوابات نقطة وصول واحدة للبحث عن بطاقات IOC عبر مجموعة متنوعة من البيانات، مثل عناوين URL، تجزئة الملفات، عناوين IP، الأحداث المسجلة، أسطر الأوامر، والسجلات، مما يسهل تحديد التهديدات والتحقيق فيها بشمول أكبر.
تحقيقات تنبيه أسرع
عند وقوع حادث أمني، الوقت يعتبر الأمر الأهم. تساعد المنصات التكنولوجية في جمع البيانات الاستخباراتية ذات الصلة بسرعة، مما يساهم في فهم أعمق للهجوم والأنظمة المتأثرة ونطاق التسوية. ويمكن أن يؤدي ذلك إلى تسريع وتحسين الاستجابة بشكل كبير.
الصيد الاستباقي للتهديدات
تهدف منصات تحليل التهديدات إلى تمكين الفرق من البحث عن بطاقات IOC المعروفة، والمتعلقة بعائلات برامج ضارة محددة. يمكن أن يساعد هذا النهج الاستباقي في اكتشاف التهديدات المخفية قبل أن تتطور إلى حوادث كبيرة.
يمكنهم الحصول على البيانات التي قد تكشف عن النقاط الضعيفة المحتملة المرتبطة بالتهديدات المعروفة. يمكن لهذه المعلومات أن تساعد في تقييم المخاطر ومساعدة المؤسسات في تحديد أولويات الجهود الأمنية بناءً على المخاطر الأكثر إلحاحًا.
تحليل التهديدات واتخاذ القرارات
من خلال الرؤى التفصيلية حول سلوك البرامج الضارة، يمكن للفرق تحليل التهديدات بشكل دقيق واتخاذ قرارات مستنيرة بشأن الاحتواء والمعالجة والتدابير الوقائية المستقبلية. تعمل هذه الدورة المستمرة على تعزيز الأمن العام وفعالية الفريق.
أمثلة على استعلام النظام الأساسي لتحليل التهديدات
البحث باستخدام المؤشرات الفردية
تخيل أنك تشك في أن نظامًا مخترقًا داخل شبكتك يقوم بتحميل ملفات ضارة. قمت بتحديد عنوان IP محدد كمصدر محتمل وقررت القيام بالمزيد من التحقيق. أدخلت عنوان IP في شريط البحث على منصة معلومات التهديدات. تم وضع علامة على العنوان على الفور بوصفه ضارًا ومرتبطًا ببرامج Remcos الضارة، مما يوفر معلومات حول النطاقات والمنافذ والملفات المرتبطة بذلك العنوان IP.
يتيح الوصول إلى جلسات التحليل التي تحتوي على عنوان IP وتسرد التكتيكات والتقنيات والإجراءات التي تستخدمها البرامج الضارة في هذه الجلسات.
بمجرد النقر عليها، يمكنك دراسة كل جلسة بالتفصيل. سيقوم النظام بنقلك إلى صفحة الجلسة في وضع الحماية ANY.RUN، حيث يمكنك استكشاف جميع العمليات والاتصالات ونشاط التسجيل، بالإضافة إلى جمع تكوينات البرامج الضارة وبطاقات IOC أو تحميل تقرير شامل عن التهديد.
بحث مرن مع أحرف البدل
إحدى الميزات المفيدة الأخرى لمنصات مثل TI Lookup هي القدرة على إرسال البيانات المجمعة واستعلامات البدل.
على سبيل المثال، يستخدم البحث "binPath=*start= auto" حرفًا بدل النجمة ويبحث عن أي سطر أوامر يحتوي على "binPath=" تلاه أي حروف تنتهي بـ "start= auto".
تعود المنصة بتقديم مائة جلسة تظهر فيها نفس النتائج. يُشير التحليل الدقيق لنتائج البحث إلى أن هذه الميزة المحددة لسطر الأوامر هي من علامات برنامج Tofsee الضار.
طلبات البحث المجمعة
يوجد خيار آخر للتحقيق، وهو جمع جميع المؤشرات المتاحة وتقديمها إلى منصة استخبارات التهديدات لتحديد الحالات التي تظهر فيها هذه المعايير بشكل مجتمع.
مثلاً، يمكنك إنشاء استعلام يبحث عن جميع المهام (الجلسات) التي تم تصنيفها كـ "ملف"، والتي تعمل على نظام التشغيل Windows 7، بنظام تشغيل 64 بت، وتتصل بالمنفذ 50500 وتحتوي على سلسلة "schtasks" في سطر الأوامر.
ثم تقوم المنصة بتحديد العديد من الجلسات التي تلبي المعايير المحددة وتوفر قائمة بعناوين IP المعلمة بـ "RisePro" مع التركيز على البرامج الضارة المسؤولة.
حاول البحث عن معلومات التهديد
يمكّنك البحث عن معلومات التهديدات من خلال منصة ANY.RUN من التحقيق بدقة في الهجمات الضارة. يُمكن تحليل العمليات، الملفات، نشاط الشبكة والمزيد من المعلومات. يمكنك تحسين بحثك باستخدام أكثر من 30 حقلاً مختلفاً، بما في ذلك عناوين IP، المجالات، الأحداث المسجلة، وتقنيات MITRE. يُمكنك دمج المعلومات من مختلف المصادر لفهم الوضع بشكل شامل. يمكنك أيضاً استخدام الاستعلامات الذكية لتوسيع نطاق وصولك إلى المعلومات.