TheHive y Cortex: potencian a DomainTools

Dr. Rubén Avalos – Analista Forense Digital, analiza como TheHive y Cortex potencian a Domains Tools

DomainTools ha anunciado que integrará su herramienta Iris con la plataforma TheHive y Cortex.

La comunidad de código abierto tendrá acceso a la investigación e inteligencia de amenazas DNS, a conjuntos de datos enriquecidos y al enriquecimiento contextual para Indicadores de Compromiso (COI).

¿Qué es TheHive y Cortex?

TheHive es una solución escalable de código abierto creada para SOC, equipos de respuesta a incidentes de seguridad cibernética (CSIRT), equipos de respuesta a emergencias informáticas (CERT) y cualquier profesional de seguridad de la información y les permite investigar incidentes de seguridad de manera eficiente.

La colaboración a través de las fases y funciones de gestión de incidentes está en el corazón de la plataforma.

Se pueden crear casos para cada investigación de forma manual o automática utilizando plantillas que pueden variar según el tipo de investigaciones.

Cortex es el motor de análisis independiente y un compañero perfecto para TheHive.

TheHive habla de forma nativa con Cortex a través de REST API para realizar evaluaciones rápidas de observables.

Juntas, las dos plataformas pueden ahorrar mucho tiempo y eliminar algunas de las tediosas tareas asociadas.

Los analistas pueden usar la funcionalidad analizar que puede agregar e investigar uno o miles de observables asociados con el caso.

Finalmente, las buenas prácticas antiguas de asociar TLP y etiquetas de origen también se incluyen en la plataforma.

Evolución de productos

En los últimos 3 años, el proyecto TheHive maduró, y cada vez más empresas lo adoptaron como parte de su empresa SOC / CSIRT / CERT.

TheHive y Cortex permiten a los usuarios optimizar la gestión de incidentes de seguridad, automatizar el análisis de inteligencia de amenazas y realizar análisis forenses digitales.

Al enriquecer los observables dentro de TheHive y Cortex, los usuarios ahora pueden utilizar la inteligencia de DomainTools Iris para agregar valor a su flujo de trabajo de gestión de incidentes.

De esta forma, el contexto de amenaza DNS estará disponible en un único conjunto de herramientas, sin la necesidad de acceder a él a través de sistemas ascendentes.

A través de la interfaz de apuntar y hacer clic en TheHive, los usuarios ahora podrán acceder al rico dominio de DomainTools y a la inteligencia de DNS, la puntuación de riesgo de dominio y la evidencia de apoyo.

Resultados enriquecidos

Los usuarios de TheHive y Cortex se beneficiarán de esta integración de varias maneras, pero el elemento clave es un contexto mejorado para las investigaciones.

Ahora tendrán acceso a información adicional, incluidos los datos de Whois que pueden proporcionar información clave sobre la propiedad del dominio, así como la puntuación de riesgo de DomainTools, que permite una evaluación más rápida en función del tipo de riesgo que representa el dominio.

Mientras enriquece los resultados, DomainTools conserva los datos de enriquecimiento en informes resultantes dentro de un incidente.

Esto permite a los usuarios revisar el conjunto de datos enriquecidos convenientemente, incluidos los pivotes guiados de DomainTools, para ayudarlos a continuar sus investigaciones.

Los artefactos con pivotes guiados por debajo de un límite umbral, configurados por la organización, se resaltan visualmente para mayor comodidad.

Los usuarios pueden agregar estos artefactos como puntos potenciales de pivote / inversión.

Esto permite a un analista investigar el incidente sin cambiar de contexto a través de múltiples herramientas.

Además, los datos de enriquecimiento dentro de un incidente forman una herramienta calificada para informes y reconciliación convenientes.

Y cada vez que un analista siente la necesidad de sumergirse en la plataforma de investigación DomainTools, puede lanzarlo convenientemente desde el informe observable, todo sin perder su contexto en la investigación.

¿Qué pasa con la infraestructura conectada?

Cuando perfilar un artefacto DNS no es suficiente, la integración con el analizador de pivote Iris de DomainTools permitirá a los usuarios de TheHive y Cortex ver lo que está conectado al dominio observable.

Obteniendo información sobre asociaciones más detalladas para construir una imagen más precisa de infraestructura que rodea un dominio.

Las direcciones IP asociadas, los hashes SSL y las direcciones de correo electrónico de los registrantes ahora se pueden activar para recuperar los IOC asociados.

Además, el análisis ayudará a los profesionales de seguridad de TI a elegir qué atributos pivotar, e incluso creará una ruta de investigación por su cuenta.

Esto permitirá a los usuarios descubrir IOC que de otro modo no se habrían detectado.

Para consolidar aún más la inteligencia y el análisis forense, los usuarios tendrán acceso a análisis de DomainTools.

Age and Domain Risk Score, que reducirá la lista de IOC objetivo que se importarán a la plataforma.

Los usuarios de MISP también podrán vincular dos instancias y crear un caso automático a partir de un evento MISP.

En general, la automatización de los procedimientos de manejo de incidentes a través de pivotes en los atributos clave del dominio, según lo permitido por esta integración de DomainTools Iris.

Con TheHive y Cortex, reducirá el tiempo que los equipos de seguridad de TI tendrán que dedicar a investigar y probar múltiples herramientas.

Al trabajar en el panorama de amenazas cada vez más complejo y en constante crecimiento de hoy.

Resulta cada vez más importante que las organizaciones logren colaborar de manera efectiva de esta manera.

Aumentar la visibilidad y proporcionar a los equipos de seguridad e investigadores datos enriquecidos es una de las cosas clave que nos ayudarán llevar la lucha a los cibercriminales.

 

 

Dr. Rubén Ávalos – Analista Forense Digital