介紹
事件響應平台(IRP)是所有規模和行業的組織的一個重要工具,因為它們為管理事件響應活動提供了一個集中的平台,并幫助組織快速和有效地應對網絡事件。通過使用IRP,企業可以減少網絡事件的影響,将資料洩露的風險降到最低,并確定符合行業法規。
在我看來,事件響應平台(IRP)是任何安全資訊和事件管理(SIEM)堆棧的第二大關鍵組成部分,僅次于日志的攝入。
它們為管理事件響應活動提供了一個集中的平台,包括威脅檢測、事件分類、事件調查和事件解決。
- 事故分流。這可以包括分析事件的範圍、可能受到影響的系統和資料,以及可能造成的潛在損害。
- 事故調查。這使事件響應者能夠迅速收集了解事件所需的資訊,并就如何應對做出明智的決定。
- 事件解決。這使得事件響應者能夠快速有效地響應事件,無論其嚴重性或複雜性如何。
- 合規和報告。IRP還通過提供生成事件報告和監管機構要求的其他形式的檔案的能力,幫助組織滿足合規要求。
有哪些工具可用?
在其許可變更之前,TheHIVE是滿足我們事件響應需求的首要開源解決方案。不幸的是,2022年底對許可證的修改導緻該平台的免費版本的功能大幅減少。
當SOC團隊争相尋找合格的替代者時,DFIR-IRIS仍然處于準備狀态,急切地等待着展示其能力的機會。
歡迎DFIR-IRIS
值得慶幸的是,DFIR-IRIS背後的團隊挺身而出,用一個開源的事件響應平台來拯救世界。
在我看來,當涉及到任何事件響應平台必須包含的功能時,IRIS檢查了所有的盒子。
- 事件管理。DFIR-IRIS允許事件響應者建立、跟蹤和管理事件,包括事件分流、調查和解決。
- 證據管理。DFIR-IRIS允許事件響應者收集、儲存和分析數字證據,包括系統圖像、網絡流量和日志檔案。
- 報告。DFIR-IRIS提供了一系列的報告和檔案能力,包括事件報告、案例摘要和時間表。
- 內建。DFIR-IRIS允許與其他各種工具整合,如惡意軟體分析工具、網絡流量分析工具和驗證工具。
- 協作。DFIR-IRIS允許事件響應者與其他團隊,如事件響應團隊、法醫團隊和執法機構,進行合作并分享資訊。
用子產品實作任何事情的自動化
在我看來,擴充子產品是IRIS最引人注目的特點。子產品與TheHIVE通過Cortex的Analyzers和Responders實作的功能非常相似。IRIS子產品分為兩種類型。
- 管線子產品: 允許通過子產品化管道上傳和處理證據(例如:EVTX解析和注入資料庫或資料可視化器)。
- 處理器子產品。允許在預定的行動/鈎子上處理IRIS資料。(例如:當一個新的IOC被建立時被通知,并獲得VT/MISP對它的洞察力)。
最好的特點是,這些子產品隻是Python包,我們可以精心制作,以執行我們需要實作的任何任務。
想用MISP或Virustotal來調查一個IoC?你很幸運--有一個子產品可以用于這個目的。
或者你有一個獨特的用例,需要制作自己的用例?有了一個願景和一些Python程式,你就可以實作這個目标
SOCFortress團隊正在努力建設子產品,供整個社群享用,敬請期待
少說話,多做事
IRIS将通過Docker進行安裝,該團隊已經把運作5個Docker服務的compose檔案放在一起。
- 應用程式 - iris_webapp。核心,包括網絡伺服器、資料庫管理、子產品管理等。
- db: 一個PostgresSQL資料庫
- RabbitMQ:一個處理作業排隊和處理的RabbitMQ引擎
- 勞工。依賴于RabbitMQ的工作處理程式
- nginx。一個NGINX反向代理
有了Docker的魔力,我們可以用幾個指令安裝和運作IRIS所需的所有服務。
我假設你已經安裝了docker,如果沒有,你可以按照Docker的安裝指南來安裝。Docker安裝指南。
# Clone the iris-web repository
git clone https://github.com/dfir-iris/iris-web.git
cd iris-web
# Checkout to the last non-beta tagged version -
git checkout v1.4.5
# Copy the environment file
cp .env.model .env
# [... optionally, do some configuration as specified in section below ...]
# Build the dockers
docker compose build
# Run IRIS
docker compose up
安裝了IRIS後,您現在可以通過您的浏覽器進行連接配接,今天就可以開始使用您自己的開源事件響應平台了!