本月 Splunk SOAR 劇本:使用識別項評估分析來回應釣魚攻擊

發布日期:2023/05/31

釣魚攻擊威脅對安全專業人員來說已經司空見慣。不論是一封看似真實的電子郵件要求員工點擊連結以更新登入憑證,還是一封執行長要求提供顧客禮品卡代碼的奇怪郵件,釣魚攻擊在這些年裡只是不斷地增加。僅在 2023 年,預計將有 3300 萬筆紀錄因釣魚攻擊而被竊取。面對如此多鎖定員工收件匣的潛在威脅,安全團隊如何在它們演變為安全事件之前就加以預防?

幸運的是,Splunk SOAR 提供了一套強大且種類繁多的回應劇本,可以根據數位識別項來幫助找出這類惡意威脅。在本月的「每月劇本」專題中,我們將從 Splunk SOAR 繁多的回應套件中選出一組劇本來討論,重點是識別項評估分析。


識別項評估分析是什麼?
識別項評估分析 (Identifier Reputation Analysis,IRA) 是在資訊安全和數位鑑識中使用的一種方法,用於評估數位識別項 (例如 IP 位址、電子郵件地址、網域名稱或使用者名稱) 的可信度或相關風險。IRA 的目標是透過分析這些識別項的歷史行為和信譽,用以偵測和減緩潛在的威脅。

Identifier Reputation Analysis 劇本是適用於任何安全營運中心 (SOC) 團隊的重要工具,可以提供環境威脅情勢的全面檢視。透過利用 MITRE D3FEND 對識別項評估分析的方法,SOC 團隊可以快速識別潛在的威脅和弱點,並在造成損害之前採取積極的風險緩解措施。


劇本簡述
Identifier Reputation Analysis 使用來自VirusTotal和PhishTank預先建立的社群劇本,可自動為事件提供信譽詳細資訊。以下是使用該劇本的步驟:

  1. 安裝 VirusTotal 連接器,輸入您的 API 金鑰 (可免費從VirusTotal 取得),並測試是否可以連線。
  2. 安裝 PhishTank 連接器 (預先設定)。
  3. 在本機保存 MITRE DEFENSE 對應和 VirusTotal v3 相關的劇本。
  4. 將這些劇本新增到回應工作中。
  5. 保存呼叫這兩個劇本的父劇本,然後將其新增到回應工作中。

如此一來,識別項評估分析劇本已經就緒。

觀看這段影片,了解預先建立的識別項評估分析工作流程如何實際應用,以及如何改善您組織的威脅情勢。


更進一步
假設 SOC 團隊希望將輔助劇本納入他們的自訂工作流程中。舉例來說,SOC 需要透過電子郵件接收取得含信譽評分的特定惡意軟體指標的警示。我們將使用 Splunk SOAR 透過幾個簡單的步驟完成這個工作:

  1. 使用預先建立的劇本:我們將開始搜尋與我們的 VirusTotal v3 連接器相關的預建劇本。我們選擇了 VirusTotal_v3_Identifier_Reputation_Analysis 劇本。
  2. 分析劇本:透過點擊劇本的開始和結束區塊,我們可以了解它的輸入和輸出是什麼。我們可以透過調整邏輯和條件來自訂正規化的處理程序。
  3. 建立新的劇本:在劇本編輯器中,我們將建立一個新的自動化劇本,並呼叫我們的 VirusTotal 劇本。
  4. 測試劇本:在儲存包含提交訊息的劇本之後,我們可以對事件進行測試,確保它會產生所需的輸出結果。
  5. 篩選和封鎖 URL:我們可以使用篩選區塊來封鎖信譽評分大於或等於 8 的URL。然後,我們可以從動作區塊選擇「ZScaler」,並選擇「Block URL」(封鎖 URL)。

透過以上步驟,我們可以根據預建的輔助劇本再次自訂我們的工作流程,該劇本可從 VirusTotal 取得並標準化信譽評分。

這個例子展示了使用 Splunk SOAR 建立自訂流程有多麼簡單。憑藉其強大的工具和功能,Splunk SOAR 能夠使 SOC 團隊自動化工作流程並最佳化安全營運作業。請務必造訪 research.splunk.com/playbooks,以探索更多有用的劇本。我們期待您和我們分享對本月特色劇本,以及您最近操作的其他劇本的經驗。下個月我們將提供更多的劇本和示範,在那之前,請您開始朝自動化邁進吧!


作者
Haythem Hammour
Haythem 是一位產品行銷經理,專注於 Splunk Enterprise Security 和 SOAR 產品。Haythem 在技術銷售、市場行銷和諮詢服務上擁有超過 10 年的經驗。他擁有美國 EC-Council University 的資訊安全碩士學位,並取得了 CEH、CND、CompTIA CySA+ 等證書。他曾在 Trend-Micro、Cisco 和 Birinqa 擔任產品行銷職位,產生許多有價值的內容、制定訊息傳達策略,以及進行過許多其他技術產品行銷活動。

Haythem 原籍蘇丹,現居美國德州奧斯汀,他是兩個女兒和兩個兒子的父親。他喜歡騎自行車、攝影、旅行和探索不同的文化。

 

返回上一頁