Etkili siber tehdit tespiti ve müdahalesi, eyleme geçirilebilir, gerçek zamanlı istihbarata erişme yeteneğine bağlıdır. Etkileşimli kötü amaçlı yazılım analizinde güvenilir bir isim olan ANY.RUN şunları sunar: Tehdit İstihbaratı (TI) Feed Entegrasyonu Bu, SOC (Güvenlik Operasyon Merkezi) ve DFIR (Dijital Adli Tıp ve Olay Müdahalesi) ekiplerine gerçek zamanlı istihbarat akışı sağlar.
ANY.RUN, etkileşimli sanal alan analizini yeni güncellenen Tehlike Göstergeleri (IOC’ler) ile birleştirerek kuruluşların yeni ortaya çıkan tehditleri proaktif olarak tespit etmesine, araştırmasına ve bunlara karşı hazırlanmasına olanak tanır.
ANY.RUN’un blog gönderisindeki verileri ve teknik referansları birleştiriyor TI Feed EntegrasyonuBu makale, bu entegrasyonun nasıl çalıştığını, neden gerekli olduğunu ve SOC/DFIR ekiplerinizin operasyonlarını nasıl geliştirip basitleştireceğinizi araştırıyor.
Get 50 free requests in TI Lookup to enrich your threat investigations
Tehdit İstihbaratı Beslemeleri İş Performansını Nasıl Artırır?
| Bakış açısı | Detaylar |
|---|---|
| Maliyet Tasarrufu | TI beslemeleri, tehditleri proaktif bir şekilde tanımlayıp azaltarak, veri ihlallerini önleyerek ve reaktif önlemleri en aza indirerek maliyetleri azaltır. |
| Daha İyi Karar Verme | Yüksek kaliteli içgörüler, kuruluşların en kritik tehditlere odaklanmasına yardımcı olarak etkili kaynak tahsisi sağlar ve etkiyi en üst düzeye çıkarır. |
| İtibarın Korunması | Tehditlerin erken tespiti, bir şirketin markasına zarar verebilecek olayları önleyerek müşteriler ve paydaşlar arasında güven oluşturur. |
| Geliştirilmiş Operasyonel Verimlilik | TI beslemelerinin entegre edilmesi, müdahale süreçlerini kolaylaştırır, Ortalama Çözünürlük Süresini (MTTR) iyileştirir ve daha hızlı kontrol altına alma ve kurtarma sağlar. |
| Mevzuata Uygunluk | TI beslemeleri, olayları belgeleyerek ve güvenlik duruşunu güçlendirerek GDPR, HIPAA ve PCI gibi çerçevelerle uyumluluğu destekler. |
TI beslemelerinden yararlanmak, giderek daha karmaşık hale gelen tehdit ortamında dayanıklı ve verimli operasyonları sürdürmenin anahtarıdır.
ANY.RUN’un TI Yayınlarının Özellikleri ve Teknik İşlevselliği
ANY.RUN’un Tehdit İstihbaratı Akışları, 500.000 siber güvenlik araştırmacısından oluşan küresel bir topluluk tarafından yüklenen kötü amaçlı yazılım ve kimlik avı örneklerinden toplanan ve önceden işlenmiş zenginleştirilmiş IOC verileri sağlar.
Bu akışlar SIEM’lere, TIP’lere ve diğer güvenlik platformlarına sorunsuz bir şekilde entegre olacak şekilde tasarlanmış olup hem kullanım kolaylığı hem de bağlam açısından zengin bilgiler sunar.
Sağlanan Gösterge Türleri
Kötü Amaçlı IP Adresleri:
C2 (Komut ve Kontrol) sunucularına, kimlik avı kampanyalarına ve diğer kötü amaçlı faaliyetlere bağlı IP’ler.
Kullanım örneği: SOC ekipleri bu IP’leri güvenlik duvarlarında engelleyebilir veya bağlamsal tehdit verilerini kullanarak saldırı kökenlerini araştırabilir.
type: ipv4-addr
id: ipv4-addr--75725b48-17a3-575d-a5de-b5d9798bde8d
value: 103.168.67.9
created: '2024-06-13T06:26:00.704Z'
modified: '2024-06-13T06:26:00.704Z'
external_references:
- source_name: ANY.RUN task 11ce507f-d535-4bf1-8973-989d7654017a
url: https://app.any.run/tasks/11ce507f-d535-4bf1-8973-989d7654017a
labels:
- RedLine
related_objects:
- relationship_type: contains
source_ref: ipv4-addr--75725b48-17a3-575d-a5de-b5d9798bde8d
target_ref: file--49ef9153-94eb-5d05-bac2-19a54738afab
created_by_ref: identity--96a9cd9c-2f73-5ad3-a2ab-c14b3eba65c7
score: 90
revoked: falseÖrnek: Bir IP, fidye yazılımı C2 altyapısının bir parçası olarak işaretlenebilir ve algılama zaman damgaları veya dosya ilişkileri gibi ek parametreler sunabilir.
Alanlar:
Web tabanlı saldırılarda kullanılan alanlar: ANY.RUN bunları geçmiş tespit ayrıntıları, tehdit adları, türleri ve ilgili karmalarla zenginleştirerek analistlerin bir kampanyanın kapsamını izlemesine yardımcı olur.
type: domain-name
id: domain-name--f17dd142-08ac-54cb-bb88-97f1e07fb6fc
value: mail.sdil.ac.ir
created: '2024-06-10T21:13:17.465Z'
modified: '2024-06-17T13:37:53.620Z'
external_references:
- source_name: ANY.RUN task 64e1d470-dcd4-4d78-b1f0-aa4d9bd6f225
url: https://app.any.run/tasks/64e1d470-dcd4-4d78-b1f0-aa4d9bd6f225
- source_name: ANY.RUN task 090c21da-a050-4f88-bb09-1bae142df1cb
url: https://app.any.run/tasks/090c21da-a050-4f88-bb09-1bae142df1cb
labels:
- AgentTesla
related_objects:
- relationship_type: contains
source_ref: domain-name--f17dd142-08ac-54cb-bb88-97f1e07fb6fc
target_ref: file--dbee2af2-3be4-5e2a-9bf3-94e3fe8637b3
- relationship_type: contains
source_ref: domain-name--f17dd142-08ac-54cb-bb88-97f1e07fb6fc
target_ref: file--9794dd40-085a-5c84-8d95-70cbd8efcf1d
created_by_ref: identity--96a9cd9c-2f73-5ad3-a2ab-c14b3eba65c7
score: 100
revoked: falseÖrnek: Kötü amaçlı yazılım dağıtan bir kimlik avı alanı, bağlantılı kampanyalar veya güvenliği ihlal edilmiş ek varlıklar hakkında bilgi sağlayabilir.
URL’ler:
URL’ler sıklıkla kötü amaçlı yazılım dağıtmak, kimlik avı saldırıları başlatmak veya kullanıcıları kötü amaçlı içeriğe yönlendirmek için kullanılır.
type: url
id: url--001c0f70-93f8-583d-96ce-7c260da3a193
value: http://www.goog1evip15.com/dogw/
created: '2024-06-11T21:35:59.640Z'
modified: '2024-06-11T21:35:59.640Z'
external_references:
- source_name: ANY.RUN task 55051854-38c4-4d03-a70a-6dd2ce3d89ca
url: https://app.any.run/tasks/55051854-38c4-4d03-a70a-6dd2ce3d89ca
labels:
- Formbook
related_objects: []
created_by_ref: identity--96a9cd9c-2f73-5ad3-a2ab-c14b3eba65c7
score: 100
revoked: falseANY.RUN’un TI Akışları bu URL’leri analiz ederek kuruluşların saldırı vektörlerini gerçek zamanlı olarak engellemesine veya araştırmasına yardımcı olur.
Dosya Karmaları ve Bağlantı Noktaları:
Belirli tehditlere bağlı dosya karmaları, dahili günlüklere karşı çapraz referans yapılmasına olanak tanır.
type: file
id: file--249382b0-209d-5904-b725-b47663c6c412
hashes:
SHA-256: d564eb94afb174fe3b854de086eda2a4e015d778a9aea9806e79f82044eac74e
SHA-1: 14b96459dff641245aea6dacd34512830d945ee2
MD5: 5edee175c5003771dea841893ea46602
created_by_ref: identity--96a9cd9c-2f73-5ad3-a2ab-c14b3eba65c7
score: 100
file_name: d564eb94afb174fe3b854de086eda2a4e015d778a9aea9806e79f82044eac74e.exe
- type: url
id: url--d65b67ec-39f2-5309-8cc9-56e016b6a48f
value: http://109.248.151.196/rvBZyVEAb230.bin
created: '2024-06-11T18:44:15.898Z'
modified: '2024-06-11T18:44:15.898Z'
external_references:
- source_name: ANY.RUN task 35d75e14-c1a2-418c-b98f-f7d58cca93cb
url: https://app.any.run/tasks/35d75e14-c1a2-418c-b98f-f7d58cca93cb
labels:
- guloader
related_objects:
- relationship_type: contains
source_ref: url--d65b67ec-39f2-5309-8cc9-56e016b6a48f
target_ref: file--249382b0-209d-5904-b725-b47663c6c412
created_by_ref: identity--96a9cd9c-2f73-5ad3-a2ab-c14b3eba65c7
score: 100
revoked: falseKötü amaçlı faaliyetlere karışan bağlantı noktaları, C2 iletişimindeki kullanım kalıplarının izlenmesine yardımcı olur.
Kötü amaçlı IP adresleri genellikle Komuta ve Kontrol (C2) sunucularına, kimlik avı kampanyalarına ve diğer zararlı faaliyetlere bağlanır.
ANY.RUN’un SOC/DFIR Ekipleri için TI Feed’lerinin Temel Avantajları
| Özellik | Detaylar |
|---|---|
| 1. Yeni, İşlenmiş Tehdit İstihbaratı | |
| Gerçek Zamanlı Güncellemeler | IOC’ler, ANY.RUN sanal alanına yüklenen kötü amaçlı yazılım örneklerinden elde edilen en son genel verilerden yararlanılarak birkaç saatte bir güncellenir. |
| Önceden işlenmiş ve doğrulanmış | Veriler, doğru, eyleme dönüştürülebilir istihbarat sağlamak, gürültüyü ve yanlış pozitifleri azaltmak için gelişmiş algoritmalar ve özel teknoloji kullanılarak filtrelenir. |
| 2. Zengin Bağlamsal Zenginleştirme | |
| Korumalı Alan Analizleri | Her IOC, ilgili sanal alan oturumuna doğrudan bağlantılarla zenginleştirilmiştir ve analistlerin bellek dökümlerini, ağ trafiğini, davranış kalıplarını ve daha fazlasını görüntülemesine olanak tanır. |
| Tehdit Kampanyası Ayrıntıları | Analistler, bir saldırının daha geniş bağlamını anlamak için ilişkili tehdit adlarını, algılama zaman damgalarını ve ilgili dosyaları inceleyebilir. |
| 3. SIEM’ler ve TIP’lerle Sorunsuz Entegrasyon | |
| Standartlaştırılmış Formatlar | TI Feed’leri STIX ve MISP gibi yaygın olarak kullanılan formatlarda sunulur ve Splunk, OpenCTI ve ThreatConnect gibi çözümlerle uyumluluk sağlanır. |
| Tak ve Çalıştır Uyumluluğu | Akışlar, minimum yapılandırmayla mevcut sistemlere entegre edilebilir, böylece kuruluşların tehdit algılama yeteneklerini hızlı bir şekilde geliştirmelerine olanak sağlanır. |
| 4. Geliştirilmiş Operasyonel Verimlilik | |
| Kolaylaştırılmış Tehdit Avcılığı | Yeni IOC’ler, tehdit avcılarının ortaya çıkan tehditlere hassasiyetle ve hızla odaklanmalarını sağlar. |
| Azaltılmış MTTR | SOC ve DFIR ekipleri, zenginleştirilmiş verilere erişerek Ortalama Algılama Süresini (MTTD) ve Ortalama Yanıt Verme Süresini (MTTR) azaltabilir Tehdit istihbaratını doğrudan iş akışlarında kullanın. |
ANY.RUN’un TI Akışlarını Güvenlik Operasyonlarına Nasıl Entegre Edebilirim?
Adım 1: Entegrasyonu Ayarlama
Özel etki alanı e-postasına kayıtlı bir hesapla ANY.RUN kontrol panelinde oturum açın.
İlk önce şuraya gidin: Besleme Kontrol Paneli ve istediğiniz IOC kategorilerini (URL’ler, IP’ler, alanlar vb.) seçin ve yayın URL’sini ve API anahtarını kopyalayın.
Bu kimlik bilgilerini şuraya yapıştırın: Tehdit İstihbaratı Akışları SIEM veya TIP sisteminizin bölümü. Ayrıntılar satıcıya göre değişir ancak genellikle tehdit istihbaratı için bir “kaynak girdisi” bulmayı içerir.
Contact ANY.RUN To integrate ANY.RUN TI Feeds in your organization
ANY.RUN’lar Tehdit İstihbaratı Akışları Entegrasyon, SOC ve DFIR ekipleri için etkili siber güvenlik operasyonlarına dönüştürücü bir yaklaşım sunar.
Bu akışlar, küresel kötü amaçlı yazılım araştırmacıları topluluğundan toplanan zenginleştirilmiş, gerçek zamanlı IOC verilerini sağlayarak, tehdit algılama ve yanıt süreçlerini optimize eder.
Korumalı alan bağlantılı içgörülere doğrudan erişim sağlarken SIEM’ler ve TIP’lerle sorunsuz bir şekilde entegre olma yeteneği, eyleme dönüştürülebilir, hassas karar alma olanağı sağlar.
Tazelik, bağlamsal zenginleştirme ve endüstri standartlarıyla uyumluluğa yapılan vurgu, ANY.RUN’un TI Feed’lerini güvenlik duruşlarını güçlendirmeyi amaçlayan kuruluşlar için vazgeçilmez kılmaktadır.
İster olaylara müdahale ediyor, ister tehditleri avlıyor, ister gelişen tehditlere karşı savunma yapıyor olun, ANY.RUN siber güvenlik stratejinizde güçlü bir ortaktır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free