Что нового в RiskIQ PassiveTotal?

Новинки: Портал киберразведки PassiveTotal, аналитические статьи и расширенные функции RiskIQ Community

Теперь платформа RiskIQ PassiveTotal включает в себя новый портал киберразведки, в котором содержатся статьи OSINT с динамическими ссылками на основные и расширенные наборы данных PassiveTotal — все это дополнено исследованиями RiskIQ Labs.

Обновленное решение RiskIQ Сommunity объединяет актуальную тематическую киберразведку с развернутыми историческим данными об Интернете. Благодаря этому более сотни тысяч пользователей PassiveTotal могут расширить масштабы хантинга за угрозами, обеспечить более эффективное и быстрое реагирование на инциденты и автоматизировать ИБ-операции.

Портал киберразведки PassiveTotal

На портале Threat Intelligence Portal можно найти сотни статей OSINT и оригинальных исследований RiskIQ. Команда RiskIQ Labs регулярно пополняет портал новыми статьями OSINT, еженедельной аналитикой атак и оригинальными исследованиями, например, передовое расследование о киберпреступной группировке Magecart.

Карточки статей и простой переход к поиску

Общая информация о статьях представлена в виде карточек на главной странице Threat Intelligence Portal. Нажав на карточку, пользователь перейдет к подробному содержанию статьи, а так же увидит индикаторы киберразведки, которые связаны динамическими ссылками с результатами поиска в PassiveTotal.

PassiveTotal Classic

Пользователи могут использовать индикаторы поиска и предварительного просмотра непосредственно из RiskIQ Threat Intelligence Portal. Прямые ссылки на портале и готовые индексы позволяют быстро перейти к более глубоким данным киберразведки и артефактам. В обновленном и понятном интерфейсе PassiveTotal Classic пользователям доступны основные и расширенные наборы данных для лучшего понимания угроз и адаптации ответных мер.

Дайджесты угроз

Воспользуйтесь киберразведкой от команды экспертов RiskIQ Labs и оптимизируйте обнаружение и анализ угроз благодаря доступным и полезным сводкам об угрозах и их еженедельным обновлениям. Отслеживайте тенденции в сфере ИБ, злоумышленников, индикаторы угроз и последние данные об Интернете из глобальной коллекции RiskIQ. Клиенты получают от команды ИБ-специалистов и аналитиков RiskIQ четкое руководство по работе с наиболее критичными данными об угрозах.

Групповой поиск

Обновленные пакеты возможностей в RiskIQ Community позволяют командам делиться квотами и запросами. Теперь пользователи в одной организации связаны друг с другом и могут работать над совместными проектами, смотреть общие списки наблюдений и запросы в рамках команды со всех корпоративных учетных записей.

Главная страница Threat Intelligence Portal

Раздел избранных статей

На главной странице (прямо под строкой поиска) представлены избранные материалы RiskIQ:

Для перехода к основному содержанию статьи нажмите на ее заголовок. Благодаря краткому содержанию статьи пользователь может быстро понять, о чем она. Панель индикаторов справа показывает, сколько индикаторов различных сообществ и организаций связано с данной статьей.

Другие статьи

Все статьи (включая избранные) представлены в разделе RiskIQ Аrticles и упорядочены по дате создания (начиная с самых новых):

Как скачать индикаторы

Значок загрузки находится рядом с кратким описанием индикатора. Нажмите на него, чтобы скачать индикаторы из статьи:

Сохраненные статьи

Значок сохранения статьи находится рядом с заголовком:

После нажатия на значок сохранения он меняет цвет. Это значит, что статья сохранилась:

Как поделиться статьей

Поделиться можно двумя способами: скопировать ссылку на статью или отправить ее по электронной почте.

Чтобы скопировать ссылку, нажмите на значок ссылки:

Это изображение имеет пустой атрибут alt; его имя файла - image-8.png

Чтобы открыть диалоговое окно почты, нажмите на значок почты:

Поиск

При поиске какого-либо термина страница обновляется, показывая только те статьи, которые соответствуют поисковому запросу:

В дополнение к найденным статьям результаты поиска могут выдавать карточки сводных данных (см. описание карточек с данными ниже). Примечание: нажатие на X‎ в строке поиска приведет к сбросу результатов поиска, карточки данных (если она есть) и статей.

Карточки данных доменов, хостов и IP-адресов

Если пользователь ищет домен, хост или IP-адрес, то PassiveTotal выдает ему карточку данных.

Если поиск ведется по домену или хосту, карточка показывает:

  • Последние пять DNS-разрешений для сущности
  • Последние пять SSL-сертификатов для сущности
  • Последние пять совпадений хэшей для сущности
  • Последние пять проектов, которые связаны с сущностью

Когда поиск ведется по IP-адресу, поиск состоит из:

  • Последние пять DNS-разрешений для сущности
  • Последние пять сервисов на IP-адресе (за последние 14 дней)
  • Последние пять SSL-сертификатов для сущности
  • Последние пять совпадений хэшей для сущности
  • Последние пять проектов, которые связаны с сущностью

Чтобы посмотреть все найденные записи для данной сущности в PassiveTotal, нажмите на кнопку View All ## Records. Чтобы перейти к исходной информации из PassiveTotal, нажмите на ссылку под каждым разделом.

Карточка данных текстового поиска

Карточки данных суммируют результаты текстового поиска (в дополнение к поиску по домену, хосту и IP). Например, поиск названия сетевого устройства GlobalProtect выдает следующую карточку данных:

Карточка данных для адреса электронной почты

При поиске адреса электронной почты отображается соответствующая карточка данных, в которой перечислены последние пять доменов, для которых этот адрес является контактом WHOIS:

Карточка данных “Less Common Searches”

Раздел “Less Common Searches” («редкие поисковые запросы») в нижней части карточки показывает другие запросы, которыми пользователь может воспользоваться, если текущая карточка данных не предоставила нужной информации:

Например, если нажать на менее распространенный запрос “Whois Name”, платформа перейдет к соответствующим записям WHOIS:

Use PT Classic

Кнопка “Use PT Classic” переключает на классическую домашнюю страницу PassiveTotal и устанавливает ее по умолчанию:

Обработанные данные OSINT и собственная аналитика RiskIQ

При нажатии на статью пользователь переходит к ее полному содержанию:

Описание

В разделе описания статьи содержится профиль атаки или злоумышленника. Описание может быть очень коротким (в случае бюллетеней OSINT) или довольно длинным (в случае полноформатных отчетов, особенно когда RiskIQ предоставляет все подробности). Длинные описания могут содержать изображения, ссылки на исходные ресурсы, ссылки на результаты поиска в PassiveTotal, фрагменты вредоносного кода и правила межсетевого экрана для блокирования атаки:

Индикаторы сообщества

В разделе “Community Indicators” («Индикаторы сообщества») отображаются ранее опубликованные индикаторы, относящиеся к данной статье:

Ссылки в индикаторах сообщества ведут к данным в PassiveTotal или соответствующим внешним источникам (например, VirusTotal для хэшей).

Корпоративные индикаторы

“Enterprise Indicators” («Корпоративные индикаторы») включают в себя индикаторы, которые нашла команда RiskIQ и добавила в статьи:

Ссылки в индикаторах организаций так же перенаправляют на соответствующие данные платформы PassiveTotal или внешнего источника.

Дополнительная аналитика RiskIQ

Этот раздел отображает другие недавние статьи:

Обновления в PassiveTotal Classic

Домашний экран

Пункты перемещены в меню

Пункты левого меню перемещены в пользовательское меню в правом верхнем углу экрана:

Кнопка «Переходите на новый PT»

Эту кнопку видят все пользователи — она переключает на обновленную главную страницу PassiveTotal и устанавливает ее по умолчанию .

Дизайн приложения

Приложение было переделано таким образом, чтобы пользователи взаимодействовали одинаково и с обновленной платформой PassiveTotal, и с классической.

Без лишних элементов

На главной странице ранее были представлены избранные проекты, избранный контент RiskIQ и сообщение об обновлении. Последние два элемента заменяет новая домашняя страница.

Панель меню

Нажатие на три синих линии в верхнем левом углу открывает меню:

PassiveTotal Search

Тепловая карта (доступно с лицензией)

Для нелицензированных учетных записей история на тепловой карте ограничена: 14 дней для индивидуальных аккаунтов и 90 дней для корпоративных.


Счетчики на вкладках (доступно с лицензией)

Счетчики на вкладках больше не учитываются в поиске и квоте. Счетчики будут продолжать отображаться, даже если вы превысили лицензированную квоту запросов.

Вкладка OSINT

Вкладка OSINT теперь содержит ссылку на все статьи RiskIQ Threat Intel, в которых фигурирует индикатор. Эти ссылки OSINT помечены тегом “RiskIQ Intel”:

Вкладка Resolutions (доступно с лицензией)

Нелицензированным учетным записям доступна ограниченная история: 14 дней для большинства индивидуальных аккаунтов и 90 дней для корпоративных.

Вкладка WHOIS (доступно с лицензией)

Нелицензированные учетные записи могут просматривать только текущую запись WHOIS. Только владельцы корпоративной лицензии могут просматривать всю историю записей WHOIS.

Вкладка Certificates (доступно с лицензией)

Нелицензированным учетным записям доступна ограниченная история: 14 дней для большинства индивидуальных аккаунтов и 90 дней для корпоративных.

Вкладка Trackers (доступно с лицензией)

Просмотр трекеров доступен только пользователям с корпоративной лицензией.

Вкладка Components (доступно с лицензией)

Просмотр компонентов доступен только пользователям с корпоративной лицензией.

Вкладка Host Pairs (доступно с лицензией)

Пары для хостов доступны только пользователям с корпоративной лицензией.

Вкладка DNS / Reverse DNS (доступно с лицензией)

Нелицензированным учетным записям доступна ограниченная история: 14 дней для большинства индивидуальных аккаунтов и 90 дней для корпоративных.

Вкладка Cookies (доступно с лицензией)

Cookies доступны только пользователям с корпоративной лицензией.

Вкладка Services (доступно с лицензией)

При поиске IP-адреса вкладка Services теперь доступна для учетных записей организаций (ранее она была недоступна). На вкладке отображаются последние сервисы, развернутые на IP-адресе.

Бесплатный доступ к PassiveTotal

Всем пользователям доступен доступ к бесплатной версии PassiveTotal, ограниченной по числу запросов в день.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибербезопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/