IntelOwl, büyük ölçekli tehdit istihbarat yönetimi için tasarlanmış açık kaynaklı bir çözümdür. Çok sayıda çevrimiçi analiz aracını ve gelişmiş kötü amaçlı yazılım analiz araçlarını entegre ederek tek bir platformda kapsamlı içgörüler sunar.
“2019’un sonlarında, bir Güvenlik Operasyon Merkezi’nde (SOC) siber güvenlik analisti olarak çalışırken önemli bir zorlukla karşılaştım. Ekibimiz ciddi şekilde yetersiz personele sahipti ancak güvenlik uyarıları ve olaylarıyla boğuşuyordu. İş yükü eziciydi ve tükenmişliğe yol açıyordu. Bir çözüme ihtiyaç olduğunu fark ederek, özellikle tehdit istihbaratı veri çıkarma ve analizinde en yaygın iş akışlarımızı otomatikleştirecek bir araç aradık. Ancak, mevcut hiçbir açık kaynaklı araç tüm gereksinimlerimizi karşılamıyordu, bu yüzden sıfırdan bir tane oluşturmaya karar verdik,” dedi IntelOwl’un yaratıcısı ve bakıcısı Matteo Lodi Help Net Security’ye.
“Mücadelelerimizin benzersiz olmadığını biliyorduk; siber güvenlik topluluğundaki birçok kişi aynı zorluklarla karşı karşıyaydı. Tekrarlayan görevleri otomatikleştirmek, alanda kritik bir ihtiyaçtı ve hala öyle. İlk yılımızda, araç önemli bir ilgi gördü ve sonraki yıllarda gelişmesini ve büyümesini sağladı. Bugün IntelOwl, siber güvenlik analistlerinin rutin görevlerle uğraşmak yerine gerçekten önemli olan şeye odaklanmalarını sağlıyor: tehditleri anlamak ve olayları çözmek,” diye ekledi Lodi.
IntelOwl özellikleri
“IntelOwl, tehdit bilgilerinin alınmasını ölçeklendirmek ve hızlandırmak için oluşturulmuş bir tehdit istihbarat platformudur. Diğer güvenlik araçlarıyla entegre edilmesi veya bağımsız bir proje olarak kullanılması amaçlanan eksiksiz bir web uygulamasıdır. Harika bir GUI’ye, tam teşekküllü REST API’lerine ve resmi istemci kitaplıklarına sahiptir,” diye açıklıyor Lodi.
Veri toplama için, çeşitli çevrimiçi analizörleri ve birçok son teknoloji kötü amaçlı yazılım analiz aracını entegre eder. Bir çerçeve olarak inşa edilmiştir, bu nedenle her parçası oldukça özelleştirilebilirdir: kullanım durumlarınıza, özel hizmetlerinize, özel araçlarınıza vb. göre kendi eklentilerinizi ekleyebilirsiniz.
Lodi, “Araştırmalarınız sırasında bulduğunuz her türlü dijital eseri, örneğin ağ eserlerini, şüpheli dosyaları analiz edebilir ve bunları birbiriyle ilişkilendirebilir, bir analiz akışı oluşturmak ve ihtiyacınız olan bilgileri bulmak için birinden diğerine geçiş yapabilirsiniz. Bir SOC’ye entegre edildiğinde veya tehdit istihbarat analistleri, tehdit avcıları veya adli analistler için bir araştırma aracı olarak muhteşem bir şekilde çalışır” diye ekledi.
Mevcut hizmetler veya analizörler
Dahili modüller:
- Statik Office Belgesi, RTF, PDF, PE Dosya Analizi ve meta veri çıkarma
- Dizelerin Deobfuscation ve Analizi (FLOSS, Stringsifter, …)
- Qiling ve Speakeasy ile PE Emülasyonu
- PE İmza doğrulaması
- PE Yeteneklerinin Çıkarılması (CAPA)
- Javascript Emülasyonu (Box-js)
- Android Kötü Amaçlı Yazılım Analizi (Quark-Engine, …)
- SPF ve DMARC Doğrulayıcı
- Yara (genel kurallar mevcuttur, siz de kendi kurallarınızı ekleyebilirsiniz)
Dış hizmetler:
- Abuse.ch MalwareBazaar/URLhaus/Threatfox/YARAify
- Gri Gürültü v2
- niyet
- VirüsTotal v3
- Kalabalık Güvenliği
- URL taraması
- Şodan
- AlienVault OTX
- Zeka_X
- MISP
Gelecek planları ve indirme
“Tehdit istihbarat analistlerinin analizlerini daha iyi takip etmelerine ve daha işbirlikçi bir şekilde çalışmalarına yardımcı olabilecek Araştırma Çerçevesi’ne desteği artırmaya kararlıyız. Ayrıca çıkarılan verilerde arama yapmak için daha ayrıntılı bir yol eklemek istiyoruz: Bu, tehdit avcılarının samanlıktan iğneyi çıkarmasına yardımcı olur. Ve neden analistlerin ihtiyaç duydukları bilgileri elde etmelerine yardımcı olacak bir AI tabanlı Sohbet Robotu olmasın? Bu fikri bir sonraki Google Yaz Kampı için araştırıyoruz,” diye sonlandırdı Lodi.
IntelOwl GitHub’da ücretsiz olarak mevcuttur.
Mutlaka okuyun: