Threat
intelligence. Когда вы нажимаете на нее, то должны выбрать рабочую область,
в которой содержатся ваши данные. После того как вы сделаете выбор, вы смо-
жете увидеть панель управления.
На рис. 12.9 показанная панель управления, которую вы видите, представля-
ет собой демонстрационную среду, полностью скомпрометированную. Имен-
но поэтому здесь так много оповещений.
Средства киберразведки компании Microsoft
243
Рис. 12.9
На этой панели у вас есть сводка типов угроз. В этом случае все они являют-
ся ботнетами. У вас также есть страна происхождения (откуда исходит угроза)
и карта, показывающая геолокацию угроз. Отличная новость состоит в том, что
вы можете продолжать изучать данные. Другими словами, если вы нажмете на
одну из стран, откроется результат поиска, показывающий все системы, кото-
рые были скомпрометированы в результате этой угрозы, исходящей из данной
страны. В этом случае приведенное ниже изображение – результат поиска всех
скомпрометированных систем. Там, где злоумышленник из Украины, «сырой
поиск» выглядит так:
let schemaColumns = datatable(RemoteIPCountry:string)[];
union isfuzzy= true schemaColumns, W3CIISLog, DnsEvents, WireData,
WindowsFirewall, CommonSecurityLog | where
isnotempty(MaliciousIP) and (isnotempty(MaliciousIPCountry) or
isnotempty(RemoteIPCountry))| extend Country =
iff(isnotempty(MaliciousIPCountry), MaliciousIPCountry,
iff(isnotempty(RemoteIPCountry), RemoteIPCountry, ''))
| where Country == "Ukraine"
Результат показан на рис. 12.10.
244 Киберразведка
Рис. 12.10
Исходные данные, которые вы получаете, содержат интересную информа-
цию, включая локальный IP-адрес скомпрометированной системы, исполь-
зованный протокол, направление и IP-адрес атакующего. Тем не менее самое
интересное появляется, когда вы нажимаете
show more (подробнее).
Там вы увидите, какой файл был скомпрометирован и какое приложение
использовалось:
...IndicatorThreatType:Botnet
...Confidence:75
...FirstReportedDateTime:2017-10-27T11:40:44.0000000Z
...LastReportedDateTime:2017-10-27T16:27:01.2410977Z
...IsActive:true
...RemoteIPLongitude:27.82
...RemoteIPLatitude:48.44
...SessionStartTime:10/27/2017 12:29:30.000 PM
...SessionEndTime:10/27/2017 12:29:45.000 PM
...LocalSubnet:10.0.0.0/24
...LocalPortNumber:3389
...RemotePortNumber:0
...SentBytes:1591
...TotalBytes:2755
...ApplicationProtocol:RDP
...ProcessID:3052
...ProcessName:C:WindowsSystem32svchost.exe
В данном случае svchost.exe, видимо, является тем процессом, который
скомпрометировал злоумышленник. На этом этапе вам нужно перейти к си-
стеме, выбранной злоумышленником в качестве цели, и приступить к рассле-
дованию.
Использование киберразведки для расследования подозрительной деятельности
Do'stlaringiz bilan baham: |