>

C2 Kommunizierende IPs SCF Splunk Dashboard

Aufgezeichnete Zukunft Scannen des Internets sammelt Live-Informationen über Internet-Hosts und Analyse des Netzwerkverkehrs beobachtet den Mittelpunkt zwischen dem Angreifer und seinen Opfern, während sie Angriffe aufbauen, inszenieren und starten.  Der Command and Control-Datensatz fusioniert diese beiden Methoden, um IPs zu identifizieren und zu verfolgen, die wir als positives C2 gescannt und dann die Kommunikation beobachtet haben, um zu verstehen, wie C2 mit infizierten Computern interagiert und vom Angreifer kontrolliert wird. Durch die Nutzung dieser Daten in Splunk können wir die Netzwerkaktivität in Ihren Protokollen mit hoher Zuverlässigkeit mit der Command-and-Control-Infrastruktur über bestimmte Ports und Protokolle korrelieren, die an bestimmte Malware-Familien gebunden sind.

 

Dies ermöglicht es uns, auf zwei Ziele hinzuarbeiten:

  • Erkennen der Kommunikation mit bekannten C2-IPs über relevante Ports und Protokolle.
  • Suche nach Aktivitäten, die möglicherweise mit einer bestimmten Malware in Verbindung stehen.  

 

Dieses Dashboard ermöglicht es Kunden, höhere Konfidenz- und Genauigkeitskorrelationen zwischen ihren Netzwerkverkehrsprotokollen und der bekannten C2-Infrastruktur zu erkennen, indem sie die Metadaten nutzen, die in unserem C2 Communicating IPs SCF enthalten sind. Außerdem werden diese Informationen mit dem Recorded Future Risk Score und den Evidence Details verknüpft, um dem Analysten weitere Einblicke in die IP-Adresse zu geben. Schließlich kann der Benutzer die Ergebnisse basierend auf der Malware-Variante filtern, wenn es eine bestimmte Aktivität gibt, nach der er sucht.

 

c2-communicating-ips-scf-splunk-dashboard-image-0.png

c2-communicating-ips-scf-splunk-dashboard-image-1.png

 

Aus technischer Sicht umfasst die Integration Folgendes und muss konfiguriert werden:

  • C2 Communicating IPs SCF-Fusionsdatei, konvertiert in das Risikolistenformat mit Metadaten, die der Recorded Future App für Splunk hinzugefügt wurden
  • XML-Code für das C2 SCF-Korrelations-Dashboard

Für die Implementierung dieses Service sind Bedrohungs- oder Brand-Intelligence-Module, Splunk-Integration und zwei (2) Professional Service Credits erforderlich. Laufender Support, der durch Integration oder Premium-Support abgedeckt wird. Wenn Sie weitere Fragen haben, wenden Sie sich bitte an Ihren Nachrichtendienstberater.