通过DNS分析检测犯罪分子和国家
2020年10月5日 在bob体育客户端下载平台的博客
您是一名安全从业者、数据科学家或安全数据工程师;你们已经看到了大规模威胁检测与响应和Databricks聊天。但您可能会想:“我如何在自己的安全操作中使用Databricks ?”在这篇博客文章中,您将学习如何使用被动DNS (pDNS)和威胁情报检测远程访问木马。在此过程中,您将学习如何使用存储和分析DNS数据δ,火花而且MLFlow.如你所知,APT和网络罪犯都在利用DNS.威胁行为者使用DNS协议指挥与控制或报警或攻击者域的解析.这就是为什么学术研究人员而且行业组织建议安全团队收集和分析DNS事件,以搜索、检测、调查和响应威胁。但你知道,这并不像听起来那么容易。
检测AgentTeslaRAT与Databricks
使用笔记本解决方案加速器,你就能检测到特斯拉特工鼠.你将使用分析域生成算法(DGA),受害威胁情报的浓缩URLhaus.在此过程中,您将学习Databricks的概念:
- 数据摄取
- 临时分析
- 如何丰富事件数据,如DNS查询
- 模型建立和
- 批处理和流分析
为什么使用Databricks ?因为安全分析中最难的不是分析本身。您已经知道,分析大规模DNS流量日志是复杂的。安全领域的同事告诉我们,挑战分为三类:
- 部署的复杂性: DNS服务器数据无处不在。云、混合和多云部署使得收集数据、使用单个数据存储和在整个部署中一致地运行分析变得具有挑战性。
- 技术的限制:传统SIEM和日志聚合解决方案无法扩展到用于存储、分析或ML/AI工作负载的云数据量。特别是当涉及到像威胁情报浓缩这样的数据时。
- 成本: SIEMs或日志聚合系统按数据摄取量收费。由于有如此多的数据,SIEM/日志许可和硬件要求使得DNS分析的成本令人望而却步。将数据从一个云服务提供商转移到另一个云服务提供商也非常昂贵和耗时。云中的硬件预提交或物理硬件的成本都是安全团队的障碍。
为了解决这些问题,安全团队需要一个实时数据分析平台,可以处理云规模,分析数据,本地支持流媒体和批处理分析,并具有协作的内容开发能力。bob体育客户端下载如果有人能让整个系统具有弹性来防止硬件提交,那岂不是很酷!
您可以在Databricks社区版或自己的Databricks部署中使用这个笔记本。这里有很多线条,但高层次的流程是这样的:
- 读被动DNSAWS S3桶中的数据
- 为DNS指定模式并将数据加载到Delta中
- 搜索字符串匹配的数据
- 建立DGA检测模型。构建排版模型。
- 用URLhaus的威胁情报丰富DGA和排版的输出
- 运行分析并检测AgentTesla老鼠
笔记本的每个部分都有注释。我们邀请您发送电子邮件给我们:(电子邮件保护)或提交问题Github回购.我们期待您的问题和建议,以使本笔记本更容易理解和部署。
现在,我们邀请您登录社区版或您自己的Databricks帐户并运行此程序笔记本系列。我们期待您的反馈和建议。
您可以创建社区版通过转到这个来计算链接.然后就可以导入笔记本了:
- 去databricks社区版
- 在左侧导航中,单击工作区
- 右键单击工作区窗格的空白区域,然后单击导入
- 选择,从URL导入
- 将此链接粘贴到URL字段中
详情请参考文件进口说明笔记本要运行。