DomainTools apoya a la comunidad de seguridad de código abierto y a sus clientes con nuevas capacidades de integración de TheHive y Cortex

El éxito de los proyectos de código abierto y de colaboración depende de la comunidad que los apoya. El modelo de desarrollo está impulsado únicamente por un objetivo común, y ha sido siempre un recurso inestimable para los sectores de la informática y la seguridad informática.

Guiados por el objetivo común de hacer que Internet sea un poco más segura y de ayudar a los usuarios a cazar infraestructuras maliciosas desconocidas, DomainTools ha anunciado que integrará su herramienta Iris con la plataforma TheHive y Cortex. La comunidad de código abierto tendrá acceso a la investigación e inteligencia de las amenazas de DNS, a los ricos conjuntos de datos y al enriquecimiento contextual de los Indicadores de Compromiso (IOC).

¿Qué es TheHive y Cortex?

TheHive es una solución escalable de código abierto creada para los SOC, los equipos de respuesta a incidentes de ciberseguridad (CSIRT), los equipos de respuesta a emergencias informáticas (CERT) y cualquier profesional de la seguridad de la información, y les permite investigar los incidentes de seguridad de forma eficiente. La colaboración en todas las fases y funciones de la gestión de incidentes es el núcleo de la plataforma. Los casos pueden crearse para cada investigación de forma manual o automática utilizando plantillas que pueden variar en función del tipo de investigaciones.

Cortex es nuestro motor de análisis independiente y un compañero perfecto para TheHive. TheHive habla de forma nativa con Cortex a través de la API REST para realizar evaluaciones rápidas de los observables.

Juntas, las dos plataformas pueden suponer un importante ahorro de tiempo y eliminar algunas de las tediosas tareas asociadas. Los analistas pueden entonces utilizar la funcionalidad Analyze que puede añadir e investigar uno o miles de observables asociados al caso. Por último, las buenas prácticas de asociación de etiquetas de TLP y de origen también se han incorporado a la plataforma.

Descripciones por cortesía de TheHive y Cortex

En los últimos tres años, el proyecto TheHive ha madurado y cada vez más empresas lo han adoptado como parte de su SOC/CSIRT/CERT empresarial. TheHive y Cortex permiten a los usuarios optimizar la gestión de los incidentes de seguridad, automatizar el análisis de la inteligencia sobre amenazas y realizar análisis forenses digitales.

Al enriquecer los observables dentro de TheHive y Cortex, los usuarios pueden ahora utilizar la inteligencia de DomainTools Iris para añadir valor a su flujo de trabajo de gestión de incidentes. De este modo, el contexto de las amenazas DNS estará disponible en un único conjunto de herramientas, sin necesidad de acceder a él a través de sistemas anteriores. A través de la interfaz TheHive de apuntar y hacer clic, los usuarios podrán ahora acceder a la rica inteligencia de dominio y DNS de DomainTools, a la puntuación de riesgo de dominio y a las pruebas de apoyo.

Observables enriquecidos

Los usuarios de TheHive y Cortex se beneficiarán de esta integración de varias maneras, pero el elemento clave es la mejora del contexto para las investigaciones. Ahora tendrán acceso a información adicional, incluidos los datos de Whois que pueden proporcionar información clave sobre la propiedad del dominio, así como la puntuación de riesgo de DomainTools, que permite una clasificación más rápida basada en el tipo de riesgo que representa el dominio.

Mientras se enriquecen los observables, DomainTools persiste los datos de enriquecimiento en informes observables dentro de un incidente. Esto permite a los usuarios revisar el conjunto de datos enriquecidos convenientemente, incluyendo DomainTools Guided Pivots, para ayudar a avanzar en sus investigaciones.

Los artefactos con Guided Pivots por debajo de un umbral límite, configurado por la organización, se destacan visualmente para mayor comodidad. Los usuarios pueden añadir estos artefactos como puntos potenciales de pivote/reversión.

Esto permite a un analista investigar el incidente sin tener que cambiar de contexto en múltiples herramientas. Además, los datos de enriquecimiento dentro de un incidente forman una herramienta cualificada para la elaboración de informes y la reconciliación. Y cuando un analista siente la necesidad de sumergirse en la plataforma de investigación de DomainTools, puede lanzarla convenientemente desde el informe observable, todo ello sin perder su contexto en la investigación.

¿Qué pasa con la infraestructura conectada?

Cuando el perfil de un artefacto DNS no es suficiente, la integración con el analizador pivotante Iris de DomainTools permitirá a los usuarios de TheHive y Cortex ver lo que está conectado al dominio observable, obteniendo una visión más detallada de las asociaciones para construir una imagen más precisa de la infraestructura que rodea a un dominio: Las IPs asociadas, los hashes SSL y las direcciones de correo electrónico de los registrantes pueden ahora pivotar sobre ellos para recuperar los COIs asociados. Además, los análisis de pivote guiado ayudarán a los profesionales de la seguridad informática a elegir los atributos sobre los que pivotar, y con los recuentos de pivote guiado incluso crearán una ruta de investigación por su cuenta.

Los pivotes guiados viables se marcarán durante el enriquecimiento observable, lo que permitirá a los usuarios descubrir COIs que de otro modo habrían pasado desapercibidos. Para consolidar aún más la inteligencia y los mapas forenses, los usuarios tendrán acceso a los análisis de DomainTools, como la edad y la puntuación de riesgo del dominio, que reducirán la lista de COIs objetivo que se importarán a la plataforma. Los usuarios de MISP también podrán vincular dos instancias y crear un caso automático a partir de un evento de MISP.

En general, la automatización de los procedimientos de gestión de incidentes a través de pivotes en los atributos clave del dominio, como permite esta integración de DomainTools Iris con TheHive y Cortex, reducirá el tiempo que los equipos de seguridad de TI tendrán que dedicar a la investigación y al triaje en múltiples herramientas.

Cuando se trabaja en el siempre creciente y complicado panorama de las amenazas de hoy en día, es cada vez más importante que las organizaciones consigan colaborar eficazmente de formas como esta: Aumentar la visibilidad y proporcionar a los equipos de seguridad y a los investigadores datos enriquecidos es una de las cosas clave que nos ayudará a llevar la lucha a los ciberdelincuentes.