“智取”适用于网络安全监管部门或大型组织的网络安全部门开展网络安全事件应急响应工作场景,为用户提供包括应急响应相关系统、工具、知识的一体式工具箱。本平台面向windows、Linux、邮件服务等类型设备,基于IOC、TTP、YARA等各类规则,提供网络安全事件中取证、检测、调查和溯源能力,在事后尽快还原攻击者网络攻击路径,提升网络安全事件应急响应的效率,减少攻击者在内网驻留时间,降低攻击所造成的危害。
核心功能
取证检查工具
取证是获取信息的首要步骤,但信息获取后需要进下一步的数据还原。在一个案件中,需要取的日志是很多类型的,每个日志之间都有可能存在关联。智取支持WINDOWS日志分析、WEB服务日志、邮件服务日志和Linux服务日志,能够关联起该案件中所有的日志,提供更多的关键信息与保证攻击链的完整性。
威胁狩猎
威胁狩猎主要针对的是各类现有规则和威胁情报无法产生告警的高级威胁。智取提供进程分析、文件分析和日志分析等功能协助用户自主开展威胁狩猎分析。
事件与告警
1.
持基于专利技术的TTP规则产生事件告警,可通过终端上多个行为的链条,直接判定该攻击所属的攻击组织;支持基于内置威胁 情报库中IOC的检测与告警。
2. 自动化匹配线索,快速添加线索就可产生告警,快速帮助工作人员还原攻击事件。智取支持基于已掌握的线索在所有数据中匹配
产生告警,以定位被攻击的设备,线索类型包括:域名、IP、YARA规则、邮箱地址等类型。
3. web告警,支持基于WEB访问日志发现异常,并发现注入攻击、WEB攻击行为。
4. 异常登陆告警,支持基于登录日志发现登异常登录行为,并产生告警。
5. 数据回滚, 奇安信威胁情报平台关联分析。
知识库
知识库是系统中提供的知识支持系统,为用户在应急响应过程中提供各类知识支持。当前包括APT知识库和取证知识。APT组织功能主要是介绍APT组织的相关信息,包括组织的基本介绍、使用的计划、相关的工具、和参考链接。取证知识包括了各类取证工具的用法,为用户开展取证工作提供指导和辅助。
工具集
工具集集中各种常用的取证与分析小工具的,允许用户下载和使用,为取证工作人员提供便利。
工具集包括第三方工具和自研小工具。当前取证工具集包括Nginx取证工具、Exchange取证工具、Coremail取证工具、Nirsoft、Sysinternals等常用取证与分析工具。
