20 dic. 2019

TheTHE: herramienta de Threat Hunting hecho fácil

TheTHE es un entorno destinado a ayudar a los analistas, investigadores y cazadores de amenazas en las primeras etapas de su trabajo de una manera más fácil, unificada y rápida. Uno de los principales inconvenientes cuando se trata de encontrar malware es la recopilación de información disponible en una gran cantidad de fuentes, tanto públicas como privadas.
Toda esta información suele estar dispersa y, a veces, incluso volátil. Quizás en cierto momento no haya información sobre un IoC (Indicador de Compromiso) en particular, pero esa situación puede cambiar en unas pocas horas y volverse crucial para la investigación.

Según la experiencia que tiene ElevenPaths en Threat Hunting, han creado un framework de código libre y abierto para simplificar las primeras etapas de la investigación.
  • Arquitectura servidor-cliente. La investigación puede ser compartida entre el equipo.
  • Las APIkeys se almacenan en una base de datos y un equipo puede compartirlas desde un solo punto.
  • Los resultados se almacenan en caché; por lo que no se utilizan llamadas API repetidas
  • Permite realizar mejor una investigación previa de sus activos.
  • Se integra fácilmente en el sistema.
  • Ideal para SOCs, CERTS o cualquier otro equipo de investigación.
  • Automatización de tareas y búsquedas.
  • Procesamiento rápido de API de múltiples herramientas.
  • Unificación de información en una única interfaz, para que las capturas de pantalla, hojas de cálculo, archivos de texto, etc. no estén dispersas.
  • Enriquecimiento de los datos recopilados.
  • Monitoreo periódico de un IoC dado en caso de que aparezca nueva información o movimientos relacionados.
RTTM también ofrece funcionalidades similares y seguramente ambas herramientas se complementarán muy bien.

TheTHE tiene una interfaz web donde el analista comienza su trabajo ingresando los IOC que se enviarán a un backend, donde el sistema buscará automáticamente dicho recurso en las diversas plataformas configuradas para obtener información unificada de diferentes fuentes y acceder a informes relacionados o datos existentes en ellos.

Además, cualquier cambio en los recursos a analizar será monitoreado. Todo se ejecuta en un sistema local, sin necesidad de compartir información con terceros hasta que dicha información no esté organizada, vinculada, completa y sintetizada. Esto permite que, en caso de que la información deba analizarse más tarde en cualquier otra plataforma (como una plataforma de inteligencia de amenazas), se pueda hacer de la manera más enriquecedora posible.

TheTHE se puede descargar desde Github o instalar desde Docker siguiendo esta guía.

Fuente: ElevenPaths

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!