Übersicht über Intelligence-Karten

Intelligence Cards™ bündeln wichtige Informationen zu einem bestimmten Untersuchungsthema, z. B. einem technischen Indikator, einer Malware-Familie oder einer Software-Schwachstelle. Intelligence Cards sind ein Ausgangspunkt für die Triage und ein Dreh- und Angelpunkt während einer Untersuchung.

Für jeden Entitätstyp gibt es eine Intelligence Card™, und einige Beispiele sind unten aufgeführt. Der Rest dieser Seite enthält allgemeine Beschreibungen der üblichen Komponenten die in den meisten, wenn nicht sogar in allen Intelligence Cards enthalten sind. 

• IP-Adresse - einzelne IPs und IP-Bereiche (CIDRs)
• Domain - Domains und DNS-Namen für FQDNs, Nameserver, E-Mail-Exchanges usw.
• Hash - umfasst MD5-, SHA-1- und SHA256-Hashes
• Schwachstelle - in erster Linie CVE-Schwachstellen von NIST NVD
• Malware - Malware-Familiennamen
• Bedrohungsakteur – Gruppen von Bedrohungsakteuren
• Standort: Informationen zu Bedrohungen und Gefahren in Bezug auf eine bestimmte Stadt

Alle Typen von Intelligence Cards bieten einen ähnlichen Basissatz an Informationsabschnitten. In dieser Übersicht werden zunächst diese allgemeinen Abschnitte vorgestellt, dann werden Details für spezifische Typen von Intelligence Cards gezeigt.

Überschrift

Der Abschnitt der Überschrift identifiziert das Unternehmen, das in dieser Intelligence Card™ zusammengefasst ist, und gibt das erste und letzte Datum an, an dem Berichte über dieses Unternehmen beobachtet wurden. Der Abschnitt der Überschrift bietet auch Aktionen an, darunter Datenexporte und das Erstellen eines Links zum Teilen dieser Intelligence Card.

Risiko-Score

Risikobewertungen werden für IP-Adressen, Domänen, Hashes und Schwachstellen bereitgestellt. Die Bewertung basiert auf einer Reihe von Risikoregeln. Jede Regel wird auf der Grundlage spezifischer Beweise ausgelöst und kann unabhängig voneinander altern. Zu den Eingabequellen für Risikoregeln gehören die technische Datenerfassung von Recorded Future, Bedrohungsfeeds und Kontext aus 1M+ Webquellen, einschließlich Sicherheitsforschern und Blogs, sozialen Medien, Foren und mehr.

Jede Risikoregel hat einen Schweregrad. Der Risikowert für ein Unternehmen wird durch die Risikoregel mit dem höchsten Schweregrad bestimmt, die derzeit ausgelöst wird. Zusätzliche Risikoregeln, die bei niedrigeren Schweregraden ausgelöst werden, erhöhen die Gesamtrisikobewertung geringfügig. Mehrere Risikoregeln, die mit demselben Schweregrad ausgelöst werden, führen zu einem stärkeren Anstieg der Punktzahl, aber niemals dazu, dass die Punktzahl in das für höhere Schweregrade reservierte Band der Risikobewertungen gerät.

Nachweise für ausgelöste Risikoregeln

Intelligence Cards bieten Transparenz über die Nachweise für jede Risikoregel, die in der Regel eine oder mehrere Berichtsquellen enthalten und Links zu Dokumenten enthalten, die von diesen Quellen veröffentlicht wurden.

Zusätzlich zu den ausgelösten Risikoregeln und -nachweisen (neun in diesem Beispiel oben, von denen sechs im Screenshot zu sehen sind) geben wir auch an, wie viele Risikoregeln insgesamt verwendet werden, um das Risiko eines Unternehmens zu bewerten (51 im obigen Beispiel). Wir fügen regelmäßig neue Risikoregeln hinzu, die nach und nach für alle Unternehmen dieses Typs evaluiert werden. Während dieser Aktualisierungen werden möglicherweise Intelligenzkarten desselben Entitätstyps angezeigt, die eine unterschiedliche Gesamtzahl von Risikoregeln angeben.

Leitfaden zu Risikoregeln

Intelligence-Karten bieten auch Anleitungen, in denen die Logik und die beabsichtigte Verwendung von Regeln für ausgelöste Risiken erläutert werden. Klicken Sie auf das Fragezeichensymbol neben einer ausgelösten Risikoregel, um den Leitfaden anzuzeigen, in dem erläutert wird, wann die Regel ausgelöst wird, warum diese Art von Informationen oder Sichtungen eine Risikobedeutung hat und was als Nächstes geschieht: vorgeschlagene Maßnahmen, die der Art und Zuverlässigkeit der Risikoinformationen angemessen sind.  

Bedrohungslisten

Wenn die Entität derzeit in einer weiteren Bedrohungsliste enthalten ist, wird dies auf der Intelligence Card angezeigt. Recorded Future verfolgt die Aktualisierungen der Bedrohungslisten, täglich oder häufiger, je nach der Rhythmus des Anbieters der Bedrohungsliste. Die Streichung eines Unternehmens von einer externen Bedrohungsliste wird schnell in Recorded Future angezeigt, und die Risikoregeln werden entsprechend aktualisiert. Beachten Sie, dass Unternehmen, die in Whitelists und Mitigation Lists enthalten sind, diese Liste auch hier wiedergeben. Eine Beschreibung der einzelnen Listen finden Sie hier..

Zeitleisten für aktuelle Ereignisse

Recorded Future organisiert die Berichterstattung zur Entität nach Zeit, und die Intelligence Cards enthalten eine Zeitleiste der Berichterstattung der letzten 60 Tage.

Intelligence Cards zu Malware, Schwachstellen und Bedrohungsakteuren können zwei Zeitleisten anzeigen. Die erste, blau eingefärbte Zeitleiste fasst alle gemeldeten Ereignisse zusammen, die in den letzten 60 Tagen mit diesem Unternehmen zu tun hatten. Die zweite Zeitleiste fasst spezifisch die gemeldeten Cyber-Angriffe und Cyber-Exploit-Ereignisse zusammen. Jeder Tag in der Zeitleiste für Cyber-Ereignisse ist farblich nach Schweregrad des Cyber-Bedrohungssignals für diese Organisation an diesem Tag gekennzeichnet.

Zusammenhang

Diese Listen fassen andere Infrastrukturen und Entitäten zusammen, die zusammen mit der primären Entität für die Intelligence Card gemeldet werden. Der Kontext-Abschnitt erfasst das gemeinsame Vorkommen, d. h. die Erwähnung der Entität der Intelligence Card und der verwandten Entität aus diesem Abschnitt im selben Satz oder Dokument. Das gleichzeitige Vorkommen sagt nichts über die Art oder Stärke der Verbindung zwischen den Entitäten aus, sondern nur darüber, dass sie zusammen erwähnt wurden.

Die Länge des blauen Balkens für jede verknüpfte Entität zeigt die relative Häufigkeit an, mit der sie in Verbindung mit der primären Entität erwähnt wird. Sie können die spezifischen Ereignisse für jeden Link anzeigen, indem Sie auf die zugehörige Entität in der Liste klicken. Sie können weitere verwandte Entitäten anzeigen, die über die oberste Liste in der Intelligence-Karte hinausgehen, indem Sie auf die Aktion In Tabelle anzeigen klicken.

Erweiterungen

Erweiterungen sind Integrationen, die Intelligence Cards mit Inhalten von unseren Intelligence-Partnern ergänzen.

Links zu technischem Profil und Anreicherungsdiensten

Es sind praktische Navigationslinks zu verschiedenen Anreicherungsdiensten enthalten, die Informationen für die Sicherheitsgemeinschaft veröffentlichen. Dazu gehören DomainTools (Domainregistrierung und WHOIS), Shodan (offene Ports und Dienste) und VirusTotal (Malware, die mit der Infrastruktur verbunden ist, erfasst durch statische oder Sandbox-Verhaltensanalyse).

Aktuelle Referenzen und erste Referenz

Jede Intelligence Card schließt mit einer Reihe von individuellen Hinweisen, die nach dem Zeitpunkt der Berichterstattung (jüngster Bericht und erster Bericht) oder als jüngster Bericht eines Ereignistyps oder einer Gruppe von Quellen hervorgehoben sind. Zu diesen hervorgehobenen jüngsten Ereignissen gehören Cyber-Ereignisse, Paste-Sites, soziale Medien, Informationssicherheitsquellen, Untergrundforen und Quellen im Dark Web.

Datenüberprüfung anfordern

Recorded Future verarbeitet unstrukturierte Daten aus dem offenen Web, dem technischen Web, dem Dark Web, Expertenrecherchen und vom Kunden bereitgestellten Quellen mit maschinellem Lernen und Techniken zur Verarbeitung natürlicher Sprache. Obwohl wir sowohl strenge automatisierte als auch manuelle Prozesse einsetzen, um Bedrohungsinformationen von höchster Qualität zu gewährleisten, kann es zu kleinen Fehlern oder falschen Zuordnungen in unseren Intelligence Cards kommen. Wenn Sie auf eine Datenungenauigkeit stoßen, helfen Sie uns, die Informationen zu verbessern, indem Sie eine Datenüberprüfung anfordern, und einer unserer erfahrenen Forscher wird eine Überprüfung durchführen. 

Um die Kuratierung einer Entität anzufordern und sicherzustellen, dass sie mit fehlenden Informationen auf dem neuesten Stand ist, navigieren Sie zur Intelligence Card. für diese Entität.  Klicken Sie dann auf die 3 Punkte oben rechts und klicken Sie auf "Datenproblem melden" > "Kuratierung anfordern". Füllen Sie alle erforderlichen Felder aus und geben Sie zusätzliche Informationen an, die uns bei der Durchführung der Kuratierung helfen könnten. 

Wenn Sie davon ausgehen, dass die Daten falsch sind, sollten Sie die Option "Datenüberprüfung anfordern" verwenden, die weitere Untersuchungen und Nachverfolgungen auslöst.

Bitte geben Sie in jeder Anfrage so viele Informationen wie möglich über die Anfrage an, damit unsere Experten ihre Aufmerksamkeit auf das spezifische Datenelement richten können.