Übersicht über Intelligence-Karten
Intelligence-Karten™ bündeln wichtige Informationen zu einem bestimmten Untersuchungsthema, z. B. einem technischen Indikator, einer Malware-Familie oder einer Software-Schwachstelle. Geheimdienstkarten sind ein Ausgangspunkt für die Triage und Dreh- und Angelpunkte während einer Untersuchung.
Jeder Entitätstyp verfügt über eine Intelligenzkarte™, und einige Beispiele sind unten aufgeführt. Der Rest dieser Seite enthält allgemeine Beschreibungen allgemeiner Komponenten, die in den meisten, wenn nicht sogar allen Intelligenzkarten zu finden sind.
- IP-Adresse - einzelne IPs und IP-Bereiche (CIDRs)
- Domain - Domains und DNS-Namen für FQDNs, Nameserver, E-Mail-Exchanges usw.
- Hash - umfasst MD5-, SHA-1- und SHA256-Hashes
- Schwachstelle - in erster Linie CVE-Schwachstellen von NIST NVD
- Malware - Malware-Familiennamen
- Bedrohungsakteur – Gruppen von Bedrohungsakteuren
- Standort - Bedrohungs- und Gefahreninformationen in Bezug auf eine bestimmte Stadt
Über alle Typen hinweg bieten Intelligenzkarten einen ähnlichen Basissatz von Informationsabschnitten. In dieser Übersicht werden zuerst diese allgemeinen Abschnitte vorgestellt, dann werden Details für bestimmte Intelligence-Karten hinzugefügt. Arten.
Überschrift
Der Abschnitt "Überschrift" identifiziert die Entität, die in dieser Intelligence-Karte™ zusammengefasst ist, und enthält das erste und das letzte Datum, an dem die Berichterstattung über diese Entität beobachtet wurde. Der Abschnitt "Überschrift" bietet auch Aktionen an, darunter Datenexporte und das Erstellen eines Freigabelinks für diese Intelligence-Karte.
Risiko-Score
Risikobewertungen werden für IP-Adressen, Domänen, Hashes und Schwachstellen bereitgestellt. Die Bewertung basiert auf einer Reihe von Risikoregeln. Jede Regel wird auf der Grundlage spezifischer Beweise ausgelöst und kann unabhängig voneinander altern. Zu den Eingabequellen für Risikoregeln gehören die technische Datenerfassung von Recorded Future, Bedrohungsfeeds und Kontext aus 1M+ Webquellen, einschließlich Sicherheitsforschern und Blogs, sozialen Medien, Foren und mehr.
Jede Risikoregel hat einen Schweregrad. Die Risikobewertung für eine Entität wird durch die Risikoregel mit dem höchsten Schweregrad bestimmt, die derzeit ausgelöst wird. Zusätzliche Risikoregeln, die bei niedrigeren Schweregraden ausgelöst werden, erhöhen die Gesamtrisikobewertung geringfügig. Mehrere Risikoregeln, die bei denselben Schweregraden ausgelöst werden, führen zu einem stärkeren Anstieg der Bewertung, führen jedoch niemals dazu, dass die Bewertung in den Bereich der Risikobewertungen fällt, der für höhere Schweregrade reserviert ist.
Nachweise für ausgelöste Risikoregeln
Intelligence Cards bieten Transparenz über die Nachweise für jede Risikoregel, die in der Regel eine oder mehrere Berichtsquellen enthalten und Links zu Dokumenten enthalten, die von diesen Quellen veröffentlicht wurden.
Zusätzlich zu den ausgelösten Risikoregeln und -nachweisen (neun in diesem Beispiel oben, von denen sechs im Screenshot zu sehen sind) geben wir auch an, wie viele Risikoregeln insgesamt verwendet werden, um das Risiko eines Unternehmens zu bewerten (51 im obigen Beispiel). Wir fügen regelmäßig neue Risikoregeln hinzu, die nach und nach für alle Unternehmen dieses Typs evaluiert werden. Während dieser Aktualisierungen werden möglicherweise Intelligenzkarten desselben Entitätstyps angezeigt, die eine unterschiedliche Gesamtzahl von Risikoregeln angeben.
Leitfaden zu Risikoregeln
Intelligence-Karten bieten auch Anleitungen, in denen die Logik und die beabsichtigte Verwendung von Regeln für ausgelöste Risiken erläutert werden. Klicken Sie auf das Fragezeichensymbol neben einer ausgelösten Risikoregel, um den Leitfaden anzuzeigen, in dem erläutert wird, wann die Regel ausgelöst wird, warum diese Art von Informationen oder Sichtungen eine Risikobedeutung hat und was als Nächstes geschieht: vorgeschlagene Maßnahmen, die der Art und Zuverlässigkeit der Risikoinformationen angemessen sind.
Bedrohungslisten
Wenn die Entität derzeit in eine weitere Bedrohungsliste aufgenommen wird, wird dies auf der Intelligence Card angezeigt. Recorded Future verfolgt Aktualisierungen von Bedrohungslisten, täglich oder häufiger, abhängig von der Kadenz des Anbieters der Bedrohungsliste. Das Entfernen der Entität aus einer externen Bedrohungsliste wird schnell in Recorded Future widergespiegelt, und die Risikoregeln werden entsprechend aktualisiert. Beachten Sie, dass Entitäten, die in Whitelists und Mitigationslisten enthalten sind, diese Liste auch hier widerspiegeln. Eine Beschreibung der einzelnen Listen finden Sie hier.
Zeitleisten für aktuelle Ereignisse
Recorded Future organisiert die Berichte, die das Unternehmen betreffen, nach Zeit, und die Intelligence-Karten enthalten eine Zeitleiste der Berichterstattung in den letzten 60 Tagen.
Malware-, Schwachstellen- und Bedrohungsakteur-Intelligence-Karten können zwei Zeitachsen anzeigen. Die erste Zeitachse, die blau eingefärbt ist, fasst alle gemeldeten Ereignisse zusammen, an denen diese Entität in den letzten 60 Tagen beteiligt war. Die zweite Zeitleiste fasst die gemeldeten Cyberangriffe und Cyber-Exploit-Ereignisse zusammen. Jeder Tag in der Cyber-Ereignis-Zeitachse wird durch die Kritikalität des Cyber-Bedrohungssignals für diese Entität an diesem Datum farbcodiert.
Zusammenhang
Diese Listen fassen andere Infrastrukturen und Entitäten zusammen, die zusammen mit der primären Entität für die Intelligence Card gemeldet werden. Im Abschnitt "Kontext" werden Kookkurrenzen aufgezeichnet, bei denen es sich um Erwähnungen der Intelligence Card-Entität und der zugehörigen Entität aus diesem Abschnitt im selben Satz oder Dokument handelt. Die Kookkurrenzen machen keine Aussage über die Art oder Stärke der Verbindung zwischen Entitäten, sondern nur, dass sie zusammen erwähnt wurden.
Die Länge des blauen Balkens für jede verknüpfte Entität zeigt die relative Häufigkeit an, mit der sie in Verbindung mit der primären Entität erwähnt wird. Sie können die spezifischen Ereignisse für jeden Link anzeigen, indem Sie auf die zugehörige Entität in der Liste klicken. Sie können weitere verwandte Entitäten anzeigen, die über die oberste Liste in der Intelligence-Karte hinausgehen, indem Sie auf die Aktion In Tabelle anzeigen klicken.
Erweiterungen
Erweiterungen sind Integrationen, die Intelligence-Karten mit Inhalten unserer Intelligence-Partner erweitern.
Links zu technischem Profil und Anreicherungsdiensten
Praktische Navigationslinks sind für mehrere Anreicherungsdienste enthalten, die Informationen für die Sicherheitscommunity veröffentlichen. Dazu gehören DomainTools (Domainregistrierung und WHOIS), Shodan (offene Ports und Dienste) und VirusTotal (Malware, die durch statische oder Sandbox-Verhaltensanalyse mit der Infrastruktur verbunden ist).
Aktuelle Referenzen und erste Referenz
Jede Intelligence Card schließt mit einer Reihe von Einzelverweisen ab, die je nach Zeitpunkt der Berichterstattung (letzter Bericht und erster Bericht) hervorgehoben oder als der neueste Bericht eines Ereignistyps oder einer Gruppe von Quellen hervorgehoben werden. Zu diesen hervorgehobenen jüngsten Ereignissen gehören Cyber-Events, Paste-Sites, soziale Medien, Informationssicherheitsquellen, Untergrundforen und Dark-Web-Quellen.
Recorded Future verarbeitet unstrukturierte Daten aus dem offenen Web, dem technischen Web, dem Dark Web, Expertenrecherchen und vom Kunden bereitgestellten Quellen mit maschinellem Lernen und Techniken zur Verarbeitung natürlicher Sprache. Obwohl wir sowohl strenge automatisierte als auch manuelle Prozesse einsetzen, um Bedrohungsinformationen von höchster Qualität zu gewährleisten, kann es zu kleinen Fehlern oder falschen Zuordnungen in unseren Intelligence Cards kommen. Wenn Sie auf eine Datenungenauigkeit stoßen, helfen Sie uns, die Informationen zu verbessern, indem Sie eine Datenüberprüfung anfordern, und einer unserer erfahrenen Forscher wird eine Überprüfung durchführen.
Um die Kuratierung einer Entität anzufordern und sicherzustellen, dass sie mit fehlenden Informationen auf dem neuesten Stand ist, navigieren Sie zur Intelligence Card. für diese Entität. Klicken Sie dann auf die 3 Punkte oben rechts und klicken Sie auf "Datenproblem melden" > "Kuratierung anfordern". Füllen Sie alle erforderlichen Felder aus und geben Sie zusätzliche Informationen an, die uns bei der Durchführung der Kuratierung helfen könnten.
Wenn Sie davon ausgehen, dass die Daten falsch sind, sollten Sie die Option "Datenüberprüfung anfordern" verwenden, die weitere Untersuchungen und Nachverfolgungen auslöst.
Bitte geben Sie in jeder Anfrage so viele Informationen wie möglich über die Anfrage an, damit unsere Experten ihre Aufmerksamkeit auf das spezifische Datenelement richten können.