您的位置:首页 >科技 >

DomainTools新Web服务合并了DNS搜索工具

随着恶意软件和攻击指标的泛滥,安全分析师需要访问更多的自动化系统,否则就有被可疑活动淹没的风险。

最新消息来自DomainTools,这是一个流行的域名和DNS研究服务,它上周推出了新的Iris网站,帮助安全团队快速调查攻击指标。

这家位于西雅图的公司拥有一个庞大的Whois数据库,其中包括所有国际顶级域名的数据,以及供分析人员使用的其他有用信息。到目前为止,客户使用api将其数据集引入到他们的事件管理分析工具中,或者使用DomainTools网站上独立的基于web的系统来查找历史数据。问题是这些工具没有集成在一起,所以分析师不得不单独搜索。

通过Iris,“我们获取了所有Whois数据,对其进行全面解析,将其存储在可扩展的数据库中,添加了所有DNS数据存储……然后提供了一个可以查看所有这些数据的工具,”CEO Tim Chen在一次采访中说。

此外,Iris还有一个声誉引擎,可以根据已知的黑名单对域名进行风险评分。最后,它可以图形化地显示搜索结果,以便分析人员能够更好地可视化信息。

陈说,Infosec专业人员希望能有大规模使用的工具,因为他们每天都能看到10,000个域名被他们的警报系统标记出来。

当这些系统发现可疑电子邮件和URL地址的来源时,通常需要进行搜索。一些安全软件或服务进行他所称的被动DNS扫描,但陈表示,域名工具实际上提供了一张互联网地图。他估计,该公司拥有互联网上3亿个域名中的2.8亿个域名的数据。虽然一个域现在可能是私有的,但如果它在过去是公共的,DomainTools可以有它的记录。

有关谁注册了域名、IP地址或电子邮件地址的信息可以帮助分析人员决定是否需要阻止某些东西——或者恶意软件已经在他们的系统上存在了一段时间——从而为代码提供上下文。

Iris允许分析师展开所谓的调查,然后保留所有搜索的记录,以便分析师可以回去确认所采取的步骤。搜索结果也可以下载到分析师工具中包含的.csv文件中。

Iris的目标之一是为中型组织提供更好的DomainTools服务,并扩大公司在威胁情报方面的品牌。

产品管理总监Tim Helming表示,一家公司可以利用Iris来调查钓鱼企图,其中包括一个伪造的链接,指向一个恶意的Google.doc文档。com。搜索将显示该域的信息,包括注册者。分析人员可以查看此注册者拥有的其他域,如伪造的名称和其他模式。

“当新域名上线并被武器化时,我们可以预测它们的坏处,”Helming说,“或者现有的可能处于休眠状态的域名迟早会被激活。

免责声明:本文由用户上传,如有侵权请联系删除!