SOC Analistleri Artık Splunk ile ANY.RUN Kötü Amaçlı Yazılım Deneme Alanını Kullanabilir


ANY.RUN Kötü Amaçlı Yazılım Sandbox'ı Splunk ile

Splunk kullanıcıları artık şu avantajlardan yararlanabilir: ANY.RUN’ın sanal alanı ve tehdit istihbaratını doğrudan Splunk SOAR ortamlarında sağlar. Bu, ANY.RUN sanal alanında şüpheli dosyaların ve URL’lerin analizini sağlarken, TI Lookup’tan gelen tehdit verileriyle araştırmaları zenginleştirir.

Temel itibar kontrollerinden tam patlatma ve potansiyel tehditlerin analizine kadar çeşitli eylemler sunar. Kullanıcıların soruşturma boyunca tanıdık Splunk arayüzünde kalmalarına izin vererek süreci kolaylaştırır.

DÖRT

ANY.RUN’ın Splunk için bağlayıcısının resmi sayfası

Splunk SOAR, doğrudan entegrasyon yoluyla kapsamlı tehdit istihbaratıyla güvenlik analistlerine güç verir ve bu da sorgulamaya olanak tanır ANY.RUN’ın tehdit istihbaratı Veritabanı doğrudan platform içerisinde “istihbarat al” eylemini kullanır.

Bu işlevsellik şu şekilde genişletilebilir: TI Aramaları Ayrıca, analistlerin güvenlik araştırmaları sırasında daha bilinçli kararlar alabilmeleri için daha geniş yelpazede tehdit verilerinden yararlanmalarını sağlayan bir veritabanı da mevcuttur.

Otomatik Kötü Amaçlı Yazılım Analizi

Splunk SOAR oyun kitabından tetiklenebilen, kendi sanal alanı içindeki dosyaları ve URL’leri patlatarak kötü amaçlı yazılım analizini otomatikleştirir ve şüpheli eklerin veya indirmelerin otomatik analizini sağlar.

dosya analizi yapın, IOC’leri toplayın, IP itibarını alın ve daha fazlasını yapın

Sandbox, çıkarılan tehlike göstergeleri (IOC’ler) ve IP itibarı verilerini içeren ayrıntılı bir rapor sağlar. Ek olarak, kullanıcılar daha fazla manuel inceleme veya daha derin tehdit anlayışı için herhangi bir analiz oturumuna erişebilir.

ANY.RUN çözümlerini kuruluşunuza entegre edin – Ücretsiz Erişim Edinin

Gelişmiş Tehdit Avı

BİRY.KOŞ analiz sonrası için iki temel işlevsellik sunar: ayrıntılı raporlama ve gelişmiş tehdit avcılığı. “Rapor al” eylemi, gönderilen örneğin tehdit seviyesi hakkında hızlı bir karar sağlarken, arayüz belirli analiz sonuçlarının daha derinlemesine incelenmesine olanak tanır.

TI Lisansına sahip ileri düzey kullanıcılar için, “istihbarat al” eylemi, ANY.RUN’ın veritabanında dosya karmaları, IP adresleri, etki alanları veya hatta önceki analizler sırasında belirlenen MITRE ATT&CK teknikleri gibi teknik göstergeleri kullanarak arama yapılmasına olanak tanıyan güçlü tehdit istihbaratı sorgularının kilidini açar.

Tehdit İstihbarat Araması düzinelerce arama parametresini kullanmanıza olanak tanır

ANY.RUN, esasen kullanıcıların örnek riskini değerlendirmelerini ve kapsamlı tehdit araştırmalarını etkin bir şekilde yürütmelerini sağlar.

Bu Splunk SOAR oyun kitabı, potansiyel kimlik avı e-postalarını ele alır ve tetiklendiğinde URL’leri ve ekleri çıkarır. URL’ler için, ‘url’yi patlat’ eylemi kullanılarak yeni veya şüpheli olanlar bir sanal alanda patlatılırken ANY.RUN’da itibarı kontrol eder.

Ekler, bir ‘patlatma dosyası’na benzer bir analizden geçer. Daha sonra oyun kitabı, ‘rapor al’ ve ‘iocs al’ eylemleri aracılığıyla raporları ve Tehlikeye Girme Göstergelerini (IOC’ler) alır.

Son olarak, bu IOC’ler güvenlik duvarı kurallarını otomatik olarak güncellemek, uç nokta taramalarını başlatmak veya yeni SIEM algılama kuralları oluşturmak için kullanılır.

Splunk konnektör detayları

Yeni bir ANY.RUN varlığı yapılandırarak Splunk SOAR için ANY.RUN entegrasyonundan yararlanın; bunun için kullanıcıların API erişimi olan bir ANY.RUN hesabına ihtiyacı vardır (Hunter veya Enterprise planı önerilir). Any.Run profilinden Any.Run temel URL’sini ve API anahtarını sağlayın.

API istekleri için varsayılan bir zaman aşımı ayarlamayı unutmayın. Yapılandırıldıktan sonra, Splunk SOAR oyun kitapları ve analistler, ANY.RUN sandbox yeteneklerini Splunk SOAR ortamına entegre etme sürecini basitleştiren analiz için doğrudan Any.Run eylemlerini kullanabilir.

Explore all features of ANY.RUN, including the private mode and extra VM settings, by Requesting a 14-day Free Trial! 



Source link