Threat Sonar

Nedir

Threat Sonar, Sensör ve IntelDB olarak iki yapıdan oluşan bir ağ trafiği analiz ürünüdür.

Zero Trust ağ yapısında siber tehdit analizi sunmaktadır.

 

Bunu gerçekleştirirken Honeypotlar, Full Packet Capture, NetFlow/IPFix ve Siber Tehdit akışlarını kullanarak bir Big Data ortamı oluşturmaktadır.

Depolanan bu veriyi analiz ederek görselleştirmektedir.

Nedir

Tehlikeli olarak bilinen IPv4, IPv6, domain, URL ve e-mail adreslerinin toplanması IntelDB tarafında gerçekleştirilmekte ve elde edilen bu veriler düşük, orta ve yüksek olarak seviyelendirilmektedir.

 

Toplanan bu veriler ağ trafiğini anlık olarak takip eden sensörlere aktarılarak, ağ trafiğindeki olası şüpheli trafiğin tespit edilebilmesi için daima güncel kalmasını sağlamaktadır.

Nasıl Çalışır

Threat Sonar’ı oluşturan IntelDB ve Sensör olmak üzere iki yapı mevcuttur.

IntelDB

IntelDB tarafında siber tehdit oluşturan IPv4, IPv6, domain, URL ve e-mail adresleri periyodik bir şekilde güncellenerek depolanmaktadır.

Depolanan bu veriler düşük, orta ve yüksek olarak seviyelendirilip sensörler tarafından indirilebilir şekilde www.threatsonar.com üzerinden yayınlanmaktadır.

Elde edilen veriler malware, ransomware, botnet, phishing, spam gibi tehdit unsurlarına aittir.

Bu bilgiler toplanırken AlienVault, TorStatus, Spamhaus gibi 70’ten fazla kaynaktan ve ayrıca dünya üzerinde çeşitli noktalara kurulmuş büyük bir Honeypot ağından yararlanılmaktadır.

Sensör

Sensör tarafında ise ağ trafiği tamamen yakalanır.

Bu trafikten edinilen bilgi IntelDB tarafından alınmış veriler ile kıyaslanarak tehdit içeren herhangi bir durum olup olmadığı tespit edilir.

Ayrıca ağ trafiği üzerinde sezgisel metotlar ile port taraması, dns’siz bağlantılar, ele geçirilmiş domainler, uzun domain isimleri gibi olası şüpheli tehditleri de tespit etmektedir.

Oluşan alarmlar eş zamanlı olarak farklı bir SIEM ürününe CEF formatında gönderilebilir. 

Oluşan alarmlar sensör üzerinde görselleştirilmektedir.

Arayüz

Arayüzde

Neler Var

  • Dünya haritası üzerinde Source IP
  • Dünya haritası üzerinde Destination IP
  • Hijyen Seviyesi (1-15)
  • Top Alert Signature Table
  • Top Intel Feeds
  • Top Source and Destination IPs
  • Top Source and Destination Ports
  • Top Protocols
  • Top Trails
  • Related Alerts

Sezgisel Metotlar

  • Long domain (suspicious)
  • Potential port scanning
  • Sinkhole response (malware)
  • Seized domain (suspicious)
  • Missing host header (suspicious)
  • Potential proxy probe (suspicious)
  • User agent (suspicious)
  • Suspicious http request regexes (suspicious)
  • Direct application download (suspicious)
  • Potential web shell (suspicious)
  • Potential dns exhaustion (suspicious)
  • Parked site (suspicious)
  • Excessive no such domain (suspicious)
  • Entropy threshold no such domain (suspicious)

Etiketler

  • malware
  • scanner
  • suspicious
  • botnet
  • bot
  • phishing
  • spam
  • uce
  • exploit
  • fraud
  • proxy
  • mass-scanner
  • android-malware
  • tor
  • hijacked
  • zeus
  • cryptolocker
  • ios-malware
  • osx-malware
  • newdomains
  • heuristic
  • bitcoin-node
  • ssl-proxy
  • pedophiles
  • ransomware
  • ransomware-cryptowall
  • ransomware-torrentlocker
  • ransomware-locky
  • ransomware-teslacrypt
  • ssh-attacker

SORULAR

www.threatsonar.com

Made with Slides.com