qradar_使用QRadar的大数据安全扩展来运行DNS取证

qradar

随着组织向设备开放网络并增加社交媒体访问权限，防火墙和防病毒软件等传统安全防御措施无法充分保护组织。 根据最新的《 IBM X-Force趋势和风险报告》 ，自2011年以来，社会工程攻击和移动攻击每年都在增加。防火墙和传统安全产品对使用未报告技术或已经入侵组织的高级威胁几乎没有作用。

在此视频中，我演示了如何使QRadar SIEM工具更好地工作，从而为您提供更紧密，更智能的DNS和IP访问安全性。

• QRadar大数据扩展（InfoSphere®BigInsights™引擎）
• IBM Security X-Force IP信誉情报订阅源
• Whois解析服务

X-Force和QRadar如何一起工作

QRadar的新大数据扩展，15:17

成绩单

IBM Security X-Force IP信誉情报摘要基于对150亿个网页和图像的了解，深入了解了Internet上的可疑实体。 X-Force IP信誉提要为QRadar提供了实时的潜在恶意IP地址列表，其中包括恶意软件主机，垃圾邮件来源以及其他威胁。

该提要将动态Internet威胁数据添加到QRadar Security Intelligence Platform的分析功能中，以最新数据丰富QRadar的威胁分析功能。 它：

• 自动将X-Force数据输入QRadar。
• 提供涵盖各种使用案例的漏洞。
• 使用IBM X-Force经过验证的数据收集工作和广泛的知识库。

使用QRadar的大数据扩展

借助大数据解决方案扩展安全智能

获得有关IBM安全情报和大数据的最新信息。

使用IBM安全情报和大数据解决方案来发现有关现代高级数据威胁的可行见解。 阅读白皮书并了解以下内容：

• 了解和识别高级威胁。
• 使用IBM QRadar Security Intelligence扩展可见性。
• IBM InfoSphere BigInsights的安全智能。

下载“ 通过大数据解决方案扩展安全智能 ”。

在视频演示中，我通过做一些DNS取证来说明QRadar的大数据扩展，并向您展示如何从DNS BIND中获取更多信息。 （BIND是Internet上使用最广泛的DNS软件之一。也称为named （名称守护程序），它被认为是事实上的标准DNS服务器。

我的目标是获取所有员工访问过的所有域的列表，并将其与whoisxmlapi.com上每个域的IBM Security X-Force IP信誉情报摘要和注册商信息相关联。 通过此分析，我将向您展示如何生成三个参考集，您可以将其引入QRadar中以创建或修改现有规则。

普通DNS BIND收集与ping相同的有限信息。 但是，如果您执行whois ，则会获得大量信息：

• 登记员
• 注册时和注册期满
• 注册人姓名和地址
• 管理员名称，管理员地址和电话

此信息可以添加到您的安全层：攻击者经常注册用于发起攻击的域。 如果您的安全系统可以将注册日期添加到评估中，则可以将最近注册的域标记为可疑。

还会出现其他可增强安全性的信息，例如：

• 有效的注册人和管理员名称
• 有效的注册人和管理员地址
• 有效的邮政编码适用于城市/州
• 有效电话号码和主叫区域的区号

可能最重要的是，这种名称，地址和电话号码模式是否与以前已知的风险域相关联。

在演示中，我向您展示了如何获取用户访问Internet并由QRadar处理时通过的所有原始日志。 通过QRadar 自定义属性标准过程 ，我提取了已访问的所有域的大量列表。

查看QRadar如何用地理位置，访问域的用户以及其他详细信息标记列表数据。 然后，QRadar将该信息转换为JSON格式（JavaScript对象表示法），并将其转发到新的QRadar大数据扩展，即InfoSphere BigInsights引擎。 该数据是高度非结构化的数据，因此BigInsights引擎是对其进行处理的组件。 然后，我使用服务whoisxmlapi.com从大数据扩展中访问生成的知识。

Whois API托管Web服务以每个HTTP请求的XML和JSON之类的格式将解析良好的whois字段返回到您的应用程序，而没有查询限制。 该服务可以：

• 自动遵循whois注册中心引荐链，直到找到最完整的数据的正确注册商为止。
• 将各种自由格式的Whois数据解析为应用程序可以读取的结构良好的字段（XML和JSON）。
• 解析人的姓名，组织，街道，城市，州/省，邮政编码，电话号码和传真，格式为人工写出的联系地址。
• 通过基本的HTTP工作，因此您不会遇到与防火墙或访问端口43上的Whois服务器有关的问题。
• 返回域是否可用的指示。
• 以原始格式和规范化格式返回注册表日期。

接下来，我获取结果数据，并将其与IBM Security X-Force IP信誉情报摘要合并。 每隔八小时，我会将这些数据处理成三个不同的参考集：

• 有风险的用户
• 风险领域
• 风险IP

观看视频，了解实际过程和结果。

---

翻译自: https://www.ibm.com/developerworks/security/library/se-qradarbigdataext/index.html

qradar