Procesar alertas de manera r\u00e1pida y eficiente es la piedra angular del rol de un profesional del Centro de Operaciones de Seguridad (SOC). Las plataformas de inteligencia sobre amenazas pueden mejorar significativamente su capacidad para hacerlo. Averig\u00fcemos qu\u00e9 son estas plataformas y c\u00f3mo pueden empoderar a los analistas.<\/p>\n
El desaf\u00edo: sobrecarga de alertas<\/h2>\n
El SOC moderno se enfrenta a un aluvi\u00f3n implacable de alertas de seguridad generadas por SIEM y EDR. Examinar estas alertas requiere mucho tiempo y recursos. Analizar una amenaza potencial a menudo requiere buscar en m\u00faltiples fuentes antes de encontrar evidencia concluyente para verificar si representa un riesgo real. Este proceso se ve obstaculizado a\u00fan m\u00e1s por la frustraci\u00f3n de dedicar un tiempo valioso a investigar artefactos que, en \u00faltima instancia, resultan ser falsos positivos.<\/p>\n
Como resultado, una parte importante de estos eventos siguen sin investigarse. Esto pone de relieve un desaf\u00edo cr\u00edtico: encontrar la informaci\u00f3n necesaria relacionada con diferentes indicadores de forma r\u00e1pida y precisa. Las plataformas de datos sobre amenazas ofrecen una soluci\u00f3n. Estas plataformas le permiten buscar cualquier URL, IP u otro indicador sospechoso y recibir informaci\u00f3n inmediata sobre su riesgo potencial. Una de esas plataformas es Threat Intelligence Lookup de ANY.RUN.<\/p>\n
Plataformas de inteligencia sobre amenazas al rescate<\/h2>\n
Las plataformas especializadas para investigaciones de SOC aprovechan sus bases de datos de datos de amenazas, agregados de diversas fuentes. Tomemos, por ejemplo, la B\u00fasqueda de inteligencia de amenazas (TI Lookup) de ANY.RUN. Esta plataforma recopila indicadores de compromiso (IOC) de millones de sesiones de an\u00e1lisis interactivo (tareas) realizadas dentro del entorno limitado de ANY.RUN. <\/p>\n
La plataforma ofrece una dimensi\u00f3n adicional de datos de amenazas: registros de procesos, registro y actividad de red, contenidos de l\u00ednea de comandos y otra informaci\u00f3n del sistema generada durante las sesiones de an\u00e1lisis de espacio aislado. Luego, los usuarios pueden buscar detalles relevantes en estos campos.<\/p>\n
Beneficios de las plataformas de inteligencia sobre amenazas<\/h2>\nVisibilidad m\u00e1s profunda de las amenazas<\/h3>\n
En lugar de depender de fuentes de datos dispersas, estas plataformas ofrecen un \u00fanico punto de acceso para buscar IOC en varios puntos de datos. Esto incluye URL, hash de archivos, direcciones IP, eventos registrados, l\u00edneas de comando y registros, lo que permite una identificaci\u00f3n e investigaci\u00f3n de amenazas m\u00e1s completa.<\/p>\n
Investigaciones de alerta m\u00e1s r\u00e1pidas<\/h3>\n
Cuando ocurre un incidente de seguridad, el tiempo es esencial. Las plataformas de TI ayudan a recopilar r\u00e1pidamente datos relevantes de inteligencia sobre amenazas, lo que permite una comprensi\u00f3n m\u00e1s profunda de la naturaleza del ataque, los sistemas afectados y el alcance del compromiso. Esto puede acelerar y mejorar significativamente los esfuerzos de respuesta.<\/p>\n
Caza proactiva de amenazas<\/h3>\n
Las plataformas de inteligencia de amenazas permiten a los equipos buscar activamente IOC conocidos asociados con familias de malware espec\u00edficas. Este enfoque proactivo puede ayudar a descubrir amenazas ocultas antes de que se conviertan en incidentes importantes.<\/p>\n
Pueden proporcionar acceso a datos que podr\u00edan revelar vulnerabilidades potenciales asociadas con amenazas conocidas. Esta informaci\u00f3n puede fundamentar las evaluaciones de riesgos y ayudar a las organizaciones a priorizar los esfuerzos de seguridad en funci\u00f3n de los peligros m\u00e1s apremiantes.<\/p>\n
An\u00e1lisis de amenazas y toma de decisiones<\/h3>\n
Armados con informaci\u00f3n detallada sobre el comportamiento del malware, los equipos pueden analizar con mayor precisi\u00f3n las amenazas y tomar decisiones informadas sobre contenci\u00f3n, remediaci\u00f3n y futuras medidas preventivas. Este ciclo de aprendizaje continuo fortalece la postura general de seguridad y la competencia del equipo.<\/p>\n
Ejemplos de consultas de la plataforma de inteligencia sobre amenazas<\/h2>\nB\u00fasqueda con indicadores individuales<\/h3>\n![\"Inteligencia](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/De-la-alerta-a-la-accion-como-acelerar-sus-investigaciones.png\" "\\"Inteligencia")
<\/a><\/div>\nImagine que sospecha que un sistema comprometido dentro de su red est\u00e1 descargando archivos maliciosos. Identifica una direcci\u00f3n IP espec\u00edfica como fuente potencial y decide investigar m\u00e1s a fondo. Ingrese la direcci\u00f3n IP en la barra de b\u00fasqueda de una plataforma de inteligencia sobre amenazas. Al instante, la plataforma marca la direcci\u00f3n como maliciosa y la vincula al malware Remcos, ofreciendo informaci\u00f3n sobre dominios, puertos e incluso archivos asociados con esta IP.<\/p>\n
Tambi\u00e9n proporciona acceso a sesiones de an\u00e1lisis en las que estuvo involucrada esta direcci\u00f3n IP y enumera t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) empleados por el malware en estas sesiones.<\/p>\n
![\"Inteligencia](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1709039366_289_De-la-alerta-a-la-accion-como-acelerar-sus-investigaciones.png\" "\\"Inteligencia")
<\/a><\/div>\nPodr\u00e1s estudiar cada sesi\u00f3n en detalle simplemente haciendo clic sobre ella. El sistema lo llevar\u00e1 a la p\u00e1gina de la sesi\u00f3n en el entorno limitado de ANY.RUN, donde podr\u00e1 explorar todos los procesos, conexiones y actividad del registro, as\u00ed como recopilar la configuraci\u00f3n y los IOC del malware o descargar un informe completo de amenazas.<\/p>\n
B\u00fasqueda flexible con comodines<\/h3>\n
Otra caracter\u00edstica \u00fatil de las plataformas de inteligencia sobre amenazas como TI Lookup es la capacidad de enviar comodines y consultas combinadas.<\/p>\n
![\"Inteligencia](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1709039367_899_De-la-alerta-a-la-accion-como-acelerar-sus-investigaciones.png\" "\\"Inteligencia")
<\/a><\/div>\nPor ejemplo, la consulta “binPath=*start= auto” utiliza el comod\u00edn asterisco y busca cualquier l\u00ednea de comando con “binPath=” seguida de cualquier car\u00e1cter que termine en “start= auto”. <\/p>\n
La plataforma devuelve cien sesiones donde apareci\u00f3 el mismo fragmento. Un examen m\u00e1s detenido de los resultados de la b\u00fasqueda indica que este artefacto espec\u00edfico de la l\u00ednea de comandos es caracter\u00edstico del malware Tofsee.<\/p>\n
Solicitudes de b\u00fasqueda combinadas<\/h3>\n
Otra opci\u00f3n para realizar una investigaci\u00f3n es agrupar todos los indicadores disponibles y enviarlos a la plataforma de inteligencia de amenazas para identificar todos los casos en los que estos criterios aparecen colectivamente. <\/p>\n
![\"Inteligencia](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1709039368_410_De-la-alerta-a-la-accion-como-acelerar-sus-investigaciones.png\" "\\"Inteligencia")
<\/a><\/div>\nPor ejemplo, puede crear una consulta que busque todas las tareas (sesiones) categorizadas como “archivo”, ejecutadas en Windows 7, con un sistema operativo de 64 bits, conect\u00e1ndose al puerto 50500 y que contenga la cadena “schtasks” en la l\u00ednea de comando. . <\/p>\n
Luego, la plataforma identifica numerosas sesiones que cumplen con los criterios especificados y, adem\u00e1s, proporciona una lista de IP etiquetadas con “RisePro”, destacando el malware responsable.<\/p>\n
Pruebe la b\u00fasqueda de inteligencia sobre amenazas<\/h2>\n
La b\u00fasqueda de inteligencia de amenazas de ANY.RUN le permite investigar amenazas con precisi\u00f3n. Analice procesos, archivos, actividad de red y m\u00e1s. Refine su b\u00fasqueda con m\u00e1s de 30 campos, incluidos IP, dominios, eventos registrados y t\u00e9cnicas MITRE. Combine par\u00e1metros para una comprensi\u00f3n hol\u00edstica. Utilice consultas con comodines para ampliar su alcance.<\/p>\n
Solicitar una prueba<\/a> para recibir 50 solicitudes gratuitas para explorar la plataforma. <\/p>\n<\/p>\n
\u00bfEncontr\u00f3 interesante este art\u00edculo? Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n
![\"Inteligencia](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/De-la-alerta-a-la-accion-como-acelerar-sus-investigaciones.jpg\" "\\"Inteligencia")
<\/a><\/div>\nImagine que sospecha que un sistema comprometido dentro de su red est\u00e1 descargando archivos maliciosos. Identifica una direcci\u00f3n IP espec\u00edfica como fuente potencial y decide investigar m\u00e1s a fondo. Ingrese la direcci\u00f3n IP en la barra de b\u00fasqueda de una plataforma de inteligencia sobre amenazas. Al instante, la plataforma marca la direcci\u00f3n como maliciosa y la vincula al malware Remcos, ofreciendo informaci\u00f3n sobre dominios, puertos e incluso archivos asociados con esta IP.<\/p>\n
Tambi\u00e9n proporciona acceso a sesiones de an\u00e1lisis en las que estuvo involucrada esta direcci\u00f3n IP y enumera t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) empleados por el malware en estas sesiones.<\/p>\n
<\/a><\/div>\nPodr\u00e1s estudiar cada sesi\u00f3n en detalle simplemente haciendo clic sobre ella. El sistema lo llevar\u00e1 a la p\u00e1gina de la sesi\u00f3n en el entorno limitado de ANY.RUN, donde podr\u00e1 explorar todos los procesos, conexiones y actividad del registro, as\u00ed como recopilar la configuraci\u00f3n y los IOC del malware o descargar un informe completo de amenazas.<\/p>\n
B\u00fasqueda flexible con comodines<\/h3>\n
Otra caracter\u00edstica \u00fatil de las plataformas de inteligencia sobre amenazas como TI Lookup es la capacidad de enviar comodines y consultas combinadas.<\/p>\n
<\/a><\/div>\nPor ejemplo, la consulta “binPath=*start= auto” utiliza el comod\u00edn asterisco y busca cualquier l\u00ednea de comando con “binPath=” seguida de cualquier car\u00e1cter que termine en “start= auto”. <\/p>\n
La plataforma devuelve cien sesiones donde apareci\u00f3 el mismo fragmento. Un examen m\u00e1s detenido de los resultados de la b\u00fasqueda indica que este artefacto espec\u00edfico de la l\u00ednea de comandos es caracter\u00edstico del malware Tofsee.<\/p>\n
Solicitudes de b\u00fasqueda combinadas<\/h3>\n
Otra opci\u00f3n para realizar una investigaci\u00f3n es agrupar todos los indicadores disponibles y enviarlos a la plataforma de inteligencia de amenazas para identificar todos los casos en los que estos criterios aparecen colectivamente. <\/p>\n
<\/a><\/div>\nPor ejemplo, puede crear una consulta que busque todas las tareas (sesiones) categorizadas como “archivo”, ejecutadas en Windows 7, con un sistema operativo de 64 bits, conect\u00e1ndose al puerto 50500 y que contenga la cadena “schtasks” en la l\u00ednea de comando. . <\/p>\n
Luego, la plataforma identifica numerosas sesiones que cumplen con los criterios especificados y, adem\u00e1s, proporciona una lista de IP etiquetadas con “RisePro”, destacando el malware responsable.<\/p>\n
Pruebe la b\u00fasqueda de inteligencia sobre amenazas<\/h2>\n
La b\u00fasqueda de inteligencia de amenazas de ANY.RUN le permite investigar amenazas con precisi\u00f3n. Analice procesos, archivos, actividad de red y m\u00e1s. Refine su b\u00fasqueda con m\u00e1s de 30 campos, incluidos IP, dominios, eventos registrados y t\u00e9cnicas MITRE. Combine par\u00e1metros para una comprensi\u00f3n hol\u00edstica. Utilice consultas con comodines para ampliar su alcance.<\/p>\n
Solicitar una prueba<\/a> para recibir 50 solicitudes gratuitas para explorar la plataforma. <\/p>\n <\/p>\n