來源:http://www.covert.io/
在這篇文章中饲漾,我分享了我為威脅情報(bào)和機(jī)器學(xué)習(xí)研究建立和維護(hù)大量良性的IOCs(白名單)的經(jīng)驗(yàn)侥加。
白名單在威脅情報(bào)關(guān)聯(lián)中是一個(gè)有用的概念,因?yàn)樗梢院苋菀椎刈屃夹杂^察進(jìn)入威脅情報(bào)指示源愁铺,特別是來自開源供應(yīng)商或供應(yīng)商,他們不應(yīng)該那么小心。如果這些威脅情報(bào)源被用于阻塞(例如独柑,在防火墻或WAF設(shè)備中)或警報(bào)(例如,在SIEM或IDS中的日志關(guān)聯(lián))私植,良性條目進(jìn)入安全控制的成本將非常高(浪費(fèi)分析時(shí)間來篩選假陽性警報(bào)忌栅,或?yàn)楸蛔枞暮戏ňW(wǎng)站損失業(yè)務(wù)生產(chǎn)力)。白名單通常用于過濾威脅情報(bào)源中的可觀察信息兵琳,如果它們與事件日志(例如狂秘,bluecoat代理日志骇径、防火墻日志等)相交,則幾乎肯定會(huì)被標(biāo)記為假陽性者春,并用于警報(bào)破衔。白名單對(duì)于構(gòu)建機(jī)器學(xué)習(xí)模型和豐富上下文信息所需的標(biāo)記數(shù)據(jù)集也非常有用。
良性觀察的典型例子是8.8.8.8(谷歌發(fā)布的開放DNS解析器)钱烟。這已經(jīng)在許多開源和商業(yè)威脅情報(bào)中錯(cuò)誤地找到了它的方式晰筛,因?yàn)橛袝r(shí)惡意軟件使用這個(gè)IP來進(jìn)行DNS解析,或者他們ping它來進(jìn)行連接檢查拴袭。由于威脅feed的派生/收集方式不同读第,通常會(huì)有許多其他可觀察對(duì)象進(jìn)入威脅feed。以下是威脅情報(bào)反饋中誤報(bào)的主要來源的總結(jié)拥刻,以及識(shí)別這些來源以防止其使用的方法怜瞒。如今,大多數(shù)商業(yè)威脅情報(bào)平臺(tái)都很擅長識(shí)別這些信息般哼,而占主導(dǎo)地位的開源威脅情報(bào)平臺(tái)MISP在其警告列表方面也做得越來越好吴汪,但正如你將在下面的文章中發(fā)現(xiàn)的那樣,還有一些改進(jìn)的空間蒸眠。
一漾橙、良性入站觀測值
從分布式網(wǎng)絡(luò)傳感器(如蜜罐或防火墻日志)獲得的威脅情報(bào)饋源中,通常會(huì)出現(xiàn)良性的入站觀測數(shù)據(jù)楞卡。這些ip出現(xiàn)在防火墻日志中霜运,通常是良性的,或者最多被認(rèn)為是噪音蒋腮。下面是幾種常見的良性入站可觀察類型淘捡。每一種類型都有推薦的數(shù)據(jù)源或收集技術(shù),列在子項(xiàng)目中:
(1)已知的網(wǎng)絡(luò)爬蟲:網(wǎng)絡(luò)爬蟲是服務(wù)器爬行的萬維網(wǎng)和通過這個(gè)過程可能進(jìn)入許多公司的網(wǎng)絡(luò)或可能意外地?fù)糁忻酃藁蚍阑饓Α?/p>
一旦確定了模式徽惋,可以使用RDNS + DNS分析批量枚舉這些模式案淋。下面是googlebots的一個(gè)示例模式。挖掘大量rdns數(shù)據(jù)集合可以揭示需要關(guān)注的其他模式险绘。下面是一個(gè)例子踢京,一個(gè)簡單的PTR查找已知的googlebot IP。這將開始揭示可以編纂的模式宦棺,假設(shè)您可以訪問像這里提供的(或者可以輕松生成)的大量RDNS數(shù)據(jù)瓣距。
(2)與高可見項(xiàng)目或安全公司(Shodan, Censys, Rapid7項(xiàng)目Sonar, ShadowServer等)相關(guān)的已知端口掃描器。
RDNS + DNS分析可以批量枚舉這些(假設(shè)供應(yīng)商希望被識(shí)別)代咸。例子:
(3)郵件服務(wù)器——這些服務(wù)器發(fā)送電子郵件蹈丸,有時(shí)會(huì)錯(cuò)誤地被表示為威脅信息。
為了列舉這些,你需要一個(gè)流行的電子郵件域名列表逻杖。然后對(duì)該列表執(zhí)行DNS TXT請(qǐng)求并解析SPF記錄奋岁。可能需要多次查找荸百,因?yàn)镾PF允許重定向和包含闻伶。下面的示例顯示了對(duì)gmail.com手動(dòng)執(zhí)行此操作所需的命令。返回的CIDR塊是發(fā)送gmail電子郵件的IP空間够话。警告或封鎖這些會(huì)導(dǎo)致糟糕的一天蓝翰。
(4)云PaaS提供商——大多數(shù)云提供商通過api或文檔發(fā)布他們的IP空間。這些列表對(duì)于派生白名單很有用女嘲,但是需要進(jìn)一步過濾畜份。理想情況下,只白名單大量共享的云IP空間(如S3欣尼、CLOUDFRONT等)爆雹,而不是容易被壞人使用的IP空間,如EC2s愕鼓。這些白名單不應(yīng)用于排除解析到此IP空間的域名顶别,而應(yīng)用于警報(bào)的豐富或從這些IP范圍禁用基于IOC的警報(bào)。
亞馬遜AWS IP范圍:https://ip-ranges.amazonaws.com/ip-ranges.json
谷歌云平臺(tái)IP范圍:https://gist.github.com/n0531m/f3714f6ad6ef738a3b0a
Azure IP范圍:https://www.microsoft.com/en-us/download/details.aspx?id=56519
注:Greynoise是“反威脅”情報(bào)的商業(yè)提供商(也就是說拒啰,他們可以識(shí)別噪音和其他良性觀察對(duì)象)。他們非常擅長識(shí)別上面列出的良性觀測的類型完慧,因?yàn)樗麄兙S護(hù)一個(gè)全球分布的傳感器陣列谋旦,并且專門分析網(wǎng)絡(luò)事件以識(shí)別良性活動(dòng)。
注意:misp -warning列表現(xiàn)在提供了許多這樣的項(xiàng)目屈尼,但是它們可能已經(jīng)過時(shí)了(它們的一些列表已經(jīng)幾個(gè)月沒有更新了)册着。理想情況下,所有這些列表都是通過從權(quán)威來源自動(dòng)收集而不是存儲(chǔ)在github中的硬編碼數(shù)據(jù)來保持最新的(除非這些數(shù)據(jù)經(jīng)常自動(dòng)更新)脾歧。更多提示請(qǐng)參見“建立/維護(hù)白名單數(shù)據(jù)”一節(jié)甲捏。
二、良性的出站可見
良性的出站觀察經(jīng)常出現(xiàn)在來自惡意軟件沙箱鞭执、URL沙箱司顿、出站web爬蟲、電子郵件沙箱和其他類似的威脅信息中兄纺。下面是幾種常見的良性出站可觀察類型大溜。每一種類型都有推薦的數(shù)據(jù)源或收集技術(shù),列在子項(xiàng)目中:
1估脆、流行域名-流行域名可以結(jié)束威脅情報(bào)來源钦奋,特別是那些來自惡意軟件沙箱,因?yàn)橥ǔG闆r下,惡意軟件使用良性域名作為連接檢查和一些惡意軟件付材,如那些執(zhí)行點(diǎn)擊欺詐行為更像網(wǎng)絡(luò)爬蟲朦拖,訪問許多不同的良性網(wǎng)站。這些流行的域名經(jīng)常出現(xiàn)在大多數(shù)公司網(wǎng)絡(luò)中厌衔,而且本質(zhì)上幾乎都是良性的(注意:它們可以被破壞并用于托管惡意內(nèi)容璧帝,所以在這里需要非常小心)。
下面是一些流行域名的數(shù)據(jù)源葵诈。它們?cè)诤饬渴軞g迎程度的方式上略有不同(通過Web訪問者的數(shù)量裸弦、Web爬行數(shù)據(jù)出現(xiàn)的頻率、基于DNS查詢的數(shù)量或組合)作喘。這些列表不應(yīng)該原樣用于白名單;它們需要被過濾/精煉理疙。請(qǐng)參閱下面的“構(gòu)建/維護(hù)白名單數(shù)據(jù)”一節(jié),了解關(guān)于優(yōu)化建議的更多細(xì)節(jié)泞坦。
Domcop Top 10m Domains(data) - The top 10 million websites taken from the Open PageRank Initiative.
Moz’s list of the most popular 500 websites on the internet
Tranco: A Research-Oriented Top Sites Ranking Hardened Against Manipulation
MISP-warninglists’dax30 websites,bank websites,university domains,url shorteners,whats-my-ip sites
2窖贤、流行IP地址-流行IP與流行域名非常相似。它們無處不在贰锁,當(dāng)它們放到威脅情報(bào)feed時(shí)赃梧,它們會(huì)造成大量的誤報(bào)。流行IP列表可以通過解析流行域名列表生成豌熄。這些列表不應(yīng)該原樣用于白名單;它們需要被過濾/精煉授嘀。請(qǐng)參閱下面的“構(gòu)建/維護(hù)白名單數(shù)據(jù)”一節(jié),了解關(guān)于優(yōu)化建議的更多細(xì)節(jié)锣险。
3蹄皱、免費(fèi)的電子郵件域-免費(fèi)的電子郵件域偶爾會(huì)意外地出現(xiàn)在威脅情報(bào)feed,所以它是好的保持一個(gè)良好的列表芯肤,以防止誤報(bào)巷折。Hubspot提供了一份不錯(cuò)的清單。https://knowledge.hubspot.com/forms/what-domains-are-blocked-when-using-the-forms-email-domains-to-block-feature
4崖咨、廣告服務(wù)器——廣告服務(wù)器經(jīng)常出現(xiàn)在URL沙箱feed中锻拘,因?yàn)檫@些feed通常是通過訪問許多網(wǎng)站并等待惡意攻擊或反病毒警報(bào)來獲得的。這些相同的服務(wù)器總是出現(xiàn)在良好的互聯(lián)網(wǎng)流量中击蹲。Easylist提供了這類數(shù)據(jù)署拟。https://easylist.to/
5、CDN IPs -內(nèi)容分發(fā)網(wǎng)絡(luò)地理上分布式的緩存代理服務(wù)器或網(wǎng)絡(luò)提供高可用性和高性能web內(nèi)容分布际邻。它們的服務(wù)器被大量共享以分發(fā)各種web內(nèi)容芯丧。當(dāng)來自CDNs的ip轉(zhuǎn)化為威脅情報(bào)時(shí),假陽性很快就會(huì)出現(xiàn)世曾。下面是幾個(gè)CDN IP和域源缨恒。
WPO-Foundation CDN list (embedded in Python code)
AWS IP Ranges- but filtered for cloudfront and S3 IP space.
與識(shí)別已知的web爬蟲非常相似谴咸,一旦識(shí)別出模式,可以使用DNS PTR-Lookup + DNS A-Lookup 分析批量枚舉這些爬蟲骗露。
6岭佳、證書撤銷列表(CRL)和在線證書狀態(tài)協(xié)議(OCSP)域/ url——當(dāng)在惡意軟件沙箱中執(zhí)行二進(jìn)制文件并且可執(zhí)行文件已經(jīng)簽名時(shí),將連接到CRL和OCSP服務(wù)器萧锉。正因?yàn)槿绱松核妫@些經(jīng)常錯(cuò)誤地放入到威脅feed。
抓取證書從Alexa頂級(jí)網(wǎng)站柿隙,提取OCSP URL叶洞。這個(gè)老的Alienvault 帖子描述了這個(gè)過程(以及另一種使用現(xiàn)已不存在的EFF SSL天文臺(tái)的方法),而這個(gè)github 存儲(chǔ)地提供了實(shí)現(xiàn)這個(gè)過程的代碼禀崖。在此應(yīng)注意衩辟,因?yàn)閷?duì)手可以影響以這種方式收集的數(shù)據(jù)。
MISP-warninglists’ crl-ip-hostname
7波附、NTP服務(wù)器——一些惡意軟件調(diào)用NTP服務(wù)器進(jìn)行連接檢查或確定真實(shí)的日期/時(shí)間艺晴。正因?yàn)槿绱耍琋TP服務(wù)器經(jīng)常會(huì)錯(cuò)誤地獲取來自惡意軟件沙箱的威脅情報(bào)掸屡。
Web抓取NTP服務(wù)器列表(如NIST Internet Time服務(wù)器和NTP Pool Project服務(wù)器)封寞,并執(zhí)行DNS解析來導(dǎo)出每個(gè)區(qū)域負(fù)載均衡器背后的所有服務(wù)器。
8仅财、根名稱服務(wù)器和TLD名稱服務(wù)器
對(duì)公共后綴列表中的每個(gè)域執(zhí)行DNS NS-lookup狈究,然后執(zhí)行DNS A-lookup每個(gè)名稱服務(wù)器域以獲得它們的IP地址。
9盏求、郵件交換服務(wù)器
獲取流行電子郵件域的列表谦炒,然后對(duì)流行電子郵件域執(zhí)行MX查找,以獲得它們各自的郵件交換(MX)服務(wù)器风喇。對(duì)MX服務(wù)器列表執(zhí)行DNS A-lookup以獲得它們的IP地址。
10缕探、NAT會(huì)話遍歷工具(STUN)是一組標(biāo)準(zhǔn)化的方法魂莫,包括一個(gè)網(wǎng)絡(luò)協(xié)議,用于在實(shí)時(shí)語音爹耗、視頻耙考、消息傳遞和其他交互通信應(yīng)用中遍歷網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT)網(wǎng)關(guān)√妒蓿“通過https://en.wikipedia.org/wiki/STUN倦始。下面是一些STUN服務(wù)器的來源(其中一些看起來很舊)。
https://www.voip-info.org/stun//
https://gist.github.com/mondain/b0ec1cf5f60ae726202e
https://gist.github.com/zziuni/3741933
http://enumer.org/public-stun.txt
11山卦、停車IPs - IPs作為 DNS-A的默認(rèn)IP記錄鞋邑,用于新注冊(cè)的域名。
12、流行的開放DNS解析器
公共遞歸名稱服務(wù)器 (Wikipedia)——列出了最大和最流行的開放遞歸名稱服務(wù)器枚碗。
公共DNS服務(wù)器列表(Public DNS Server List)——維護(hù)一個(gè)公開的遞歸名稱服務(wù)器的大列表逾一,可能對(duì)上下文有用,但不應(yīng)該被白名單肮雨。
13遵堵、安全公司、安全博客和安全工具網(wǎng)站——這些網(wǎng)站經(jīng)常出現(xiàn)在威脅郵件列表中怨规,這些郵件列表有時(shí)會(huì)被當(dāng)作威脅源而被錯(cuò)誤地標(biāo)記為惡意陌宿。
刮掉所有與awesome-*安全相關(guān)的著名github存儲(chǔ)點(diǎn)。這有點(diǎn)冒險(xiǎn)波丰,因?yàn)閷?duì)手可能會(huì)將他們的域名添加到這些列表中壳坪。例子:
MISP-warninglists提供了一個(gè)看起來很不錯(cuò)的安全提供這博客帖子(https://github.com/MISP/misp-warninglists/tree/master/lists/security-provider-blogpost)和自動(dòng)惡意軟件分析列表(https://github.com/MISP/misp-warninglists/tree/master/lists/automated-malware-analysis)。
14呀舔、Bit Torrent Trackers-github.com/ngosang/trackerslist
15弥虐、跟蹤域名-常用的著名的電子郵件營銷公司。在威脅情報(bào)源經(jīng)常出現(xiàn)在來自垃圾郵件或釣魚郵件sinkhole媚赖。在實(shí)踐中導(dǎo)致了高假陽性率霜瘪。
PDNS和/或域Whois分析是識(shí)別這些可觀察到的模式的一種方法。下面是一個(gè)例子使用Whois數(shù)據(jù)為Marketo.com和確定所有其他Marketo電子郵件跟蹤域使用Marketo的域名服務(wù)器惧磺。這個(gè)例子來自Whoisology颖对,但批量Whois挖掘是首選方法。
注意:mis- warning列表現(xiàn)在提供了其中的一些項(xiàng)目磨隘,但是它們可能已經(jīng)過時(shí)了缤底。理想情況下,通過從權(quán)威來源自動(dòng)收集番捂,所有這些列表都是最新的个唧。更多提示請(qǐng)參見“建立/維護(hù)白名單數(shù)據(jù)”一節(jié)。
三设预、良性的基于主機(jī)的可見指標(biāo)
善意的基于主機(jī)的可觀察性指標(biāo)在基于惡意軟件沙箱的威脅情報(bào)源中非常常見徙歼。下面是一些可觀察類型的示例。到目前為止鳖枕,我只發(fā)現(xiàn)了一些不錯(cuò)的哈希列表(見下面)魄梯。
File hashes
Mutexes
Registry Keys
File Paths
Service names
數(shù)據(jù)來源:
NSRL hashset
Windows-7/32 Diskprint
Neo23x0 / fp-hashes.py
MISP常見的IOC假陽性
曼迪昂特紅線白名單(鏡像)-注意:這在我寫這篇博客的時(shí)候已經(jīng)5歲了。
Hashsets.com(商業(yè))哈希列表
在有關(guān)惡意軟件檢測的領(lǐng)先學(xué)術(shù)和行業(yè)研究中宾符,通常使用Virustotal來構(gòu)建帶標(biāo)簽的訓(xùn)練數(shù)據(jù)酿秸。更多細(xì)節(jié)請(qǐng)看這篇文章。這些技術(shù)似乎非常適合用于訓(xùn)練數(shù)據(jù)創(chuàng)建魏烫,但不推薦用于操作使用的白名單辣苏,因?yàn)殄e(cuò)誤否定的可能性很高肝箱。
注意:如果你的目標(biāo)是在二進(jìn)制文件上建立一個(gè)機(jī)器學(xué)習(xí)模型,你應(yīng)該考慮Endgame的Ember考润∠猎埃“數(shù)據(jù)集包括從1.1M二進(jìn)制文件中提取的特征:900K訓(xùn)練樣本(300K惡意,300K良性糊治,300K未標(biāo)記)和200K測試樣本(100K惡意唱矛,100K良性)”【迹看到Ember:一個(gè)開放的數(shù)據(jù)集訓(xùn)練靜態(tài)PE惡意軟件的機(jī)器學(xué)習(xí)模型更多的細(xì)節(jié)绎谦。
四、白名單排除
有許多可觀察到的東西粥脚,由于它們的受歡迎程度和重要性窃肠,我們永遠(yuǎn)不會(huì)想把它們列入白名單。這些應(yīng)該在一個(gè)白名單排除列表(又稱灰名單)中維護(hù)刷允。下面是一些例子:
共享主機(jī)域名和動(dòng)態(tài)DNS域名-這些基本域名不應(yīng)該被警告冤留,因?yàn)樵S多在Alexa的前100萬名單,將令人難以置信的噪音树灶。這些子域很容易引起警覺纤怒,因?yàn)樗鼈兒苋菀妆粚?duì)手控制和濫用。下面是這些信息的一些來源天通,但是找出主要的供應(yīng)商并抓取他們的網(wǎng)站或api將是保持這些信息新鮮的更好方法泊窘。
Shared Hosting-Maltrails free web hosting
Dynamic DNS-Maltrails DynDNS
DNS Sinkhole IPs
https://tisiphone.net/2017/05/16/consolidated-malware-sinkhole-list/
五、建立/維護(hù)白名單數(shù)據(jù)
為了可維護(hù)像寒,白名單的生成需要自動(dòng)化烘豹。對(duì)于希望確保總是在白名單中的內(nèi)容诺祸,這條規(guī)則可能有例外携悯,但對(duì)于其他內(nèi)容,理想情況下它們是從權(quán)威來源收集的筷笨,或者是基于可靠的分析技術(shù)生成的蚌卤。您不能總是盲目地信任上面列出的每個(gè)數(shù)據(jù)源。對(duì)于某些情況奥秆,需要一些自動(dòng)驗(yàn)證、過濾或分析咸灿。下面是一些有效的方法构订。
1、白名單中的每個(gè)實(shí)體都應(yīng)該被分類(這是什么類型的白名單條目?)和來源(這是從哪里來的?)以便我們確切地知道它是如何到達(dá)那里的(即什么數(shù)據(jù)源負(fù)責(zé))避矢,以及它是什么時(shí)候被添加/更新的悼瘾。如果存在與白名單相關(guān)的問題囊榜,這將有助于解決問題的特定來源。
2亥宿、從原始源站點(diǎn)檢索白名單條目卸勺,并從那里解析/提取數(shù)據(jù)。盡可能避免一次轉(zhuǎn)儲(chǔ)白名單條目烫扼,因?yàn)樗鼈兒芸炀蜁?huì)過時(shí)曙求。如果包含一次性轉(zhuǎn)儲(chǔ),請(qǐng)確保保持它們的沿襲映企。
3悟狱、一些大容量數(shù)據(jù)集對(duì)于分析擴(kuò)展或篩選各種白名單非常有用。
(1)批量活動(dòng)DNS解析(A-lookups, MX-lookups, NS-lookups,和 TXT-lookups)堰氓。Adns在這方面可能很有用挤渐。
(2)批量RDNS數(shù)據(jù)(從scans.io獲取或自己收集)。
(3)批量Whois數(shù)據(jù)-這可以從幾個(gè)供應(yīng)商購買双絮。這里有一些:whoisxmlapi.com, iqwhois.com, jsonwhois.com, whoisdatabasedownload.com浴麻,和research.domaintools.com。
(4)被動(dòng)DNS (PDNS)數(shù)據(jù)可以從幾個(gè)供應(yīng)商購買囤攀,或者你可以使用自己的網(wǎng)絡(luò)來收集和存儲(chǔ)這些數(shù)據(jù)软免。以下是一些PDNS的供應(yīng)商:farsightsecurity.com, deteque.com, circl.lu, riskiq.com, passivednsmnemonic.no和coresecurity.com(原Damballa)。
4抚岗、Netblock所有權(quán)(Maxmind)查找/分析對(duì)于一些審查非常有用或杠。
5、白名單應(yīng)該至少每天更新以保持新鮮宣蔚。可能會(huì)有一些數(shù)據(jù)源比這更改得更頻繁或更少向抢。
在刷新白名單時(shí)要小心。添加健全檢查胚委,以確保在替換舊白名單之前正確地生成了新白名單挟鸠。白名單加載失敗的代價(jià)將是大量的誤報(bào)(不幸的是,我不得不以痛苦的方式吸取這個(gè)教訓(xùn)……)亩冬。
6艘希、流行域名列表不能從表面上看是良性的。惡意域名總是會(huì)進(jìn)入這些列表硅急。這里有一些解決方法:
7覆享、使用n天穩(wěn)定top- x技術(shù)。例如营袜,穩(wěn)定6個(gè)月Alexa top 500k -創(chuàng)建一個(gè)衍生列表從頂級(jí)Alexa域名撒顿,你過濾的名單,只有域名已經(jīng)在Alexa top 500k名單荚板,在過去6個(gè)月每天凤壁。在惡意域檢測文獻(xiàn)中吩屹,常用該技術(shù)構(gòu)建高質(zhì)量的良性標(biāo)記數(shù)據(jù)。它并不完美拧抖,可能需要根據(jù)白名單的使用情況進(jìn)行調(diào)整煤搜。這種技術(shù)需要保存歷史上流行的域名列表。Wayback機(jī)器似乎擁有Alexa top1m數(shù)據(jù)的巨大歷史鏡像唧席,可能適合引導(dǎo)自己的收藏擦盾。
8、這些列表的批量DNS解析對(duì)于生成流行的IP列表也很有用袱吆,但只有在使用n天穩(wěn)定的top-X概念或在如何使用它們時(shí)才有用厌衙。
9、使用白名單排除設(shè)置绞绒,以刪除類別的域名/ ip婶希,你永遠(yuǎn)不想白名單。白名單排除集也應(yīng)通過權(quán)威來源的自動(dòng)收集保持新鮮(例如蓬衡,在可能的情況下喻杈,抓取動(dòng)態(tài)DNS提供商和共享托管網(wǎng)站,PDNS / Whois分析也可以工作)狰晚。
10筒饰、最后,在生成白名單時(shí)要小心壁晒,并考慮數(shù)據(jù)的哪些方面是被對(duì)手控制的瓷们。我們需要小心,不要盲目相信這些事情秒咐。一些例子:
RDNS條目可能具有欺騙性谬晕,特別是當(dāng)對(duì)手知道它們用于白名單時(shí)。例如携取,對(duì)手可以為他們擁有的IP地址空間創(chuàng)建PTR記錄攒钳,與谷歌的googlebot RDNS或Shodan的census RDNS相同,但他們不能更改DNS記錄雷滋,將該域名映射回他們的IP空間不撑。對(duì)于這些,通常還需要正向查找或netblock所有權(quán)驗(yàn)證晤斩。
總之焕檬,白名單對(duì)于在與事件數(shù)據(jù)關(guān)聯(lián)之前從威脅情報(bào)列表中過濾出可觀察的信息,為機(jī)器學(xué)習(xí)模型構(gòu)建標(biāo)記數(shù)據(jù)集澳泵,以及用上下文信息豐富威脅情報(bào)或警報(bào)非常有用实愚。創(chuàng)建和維護(hù)這些列表需要大量的工作。要非常小心,不要走得太遠(yuǎn)爆侣,或者白名單域或ip很容易被對(duì)手控制。
