0%
ataków DDoS ma miejsce,
gdy nikt nie patrzy.
ataków na łańcuch dostaw ma miejsce,
gdy nikt nie patrzy
ataków przez IoT ma miejsce,
gdy nikt nie patrzy.
incydentów wewnętrznych ma miejsce,
gdy nikt nie patrzy.
DomainTools

Iris Intelligence Platform

O produkcie

1. Iris Investigate / Iris Intelligence Platform
Moduł do zaawansowanej analizy zagrożeń opartych o dane domenowe. Umożliwia śledzenie powiązań między domenami, adresami IP, serwerami DNS i innymi artefaktami. Dzięki technikom pivotowania i scoringowi ryzyka pozwala wykrywać złośliwe infrastruktur C2, analizować kampanie phishingowe i przypisywać zagrożenia do konkretnych aktorów. Wspiera ręczne dochodzenia i threat hunting.

Funkcje:
a) Pivoting: Przemieszczanie się między powiązanymi artefaktami (np. domeny, adresy IP, NS, WHOIS).
b) Machine Learning: Wykrywanie złośliwych wzorców w infrastrukturze domenowej.
c) Case Management: Możliwość tworzenia, zapisywania i udostępniania śledztw.
d) Contextual Intelligence: Analiza kontekstowa (reputacja domen, historia rejestracji, zmiany DNS, związki z malware).

Zastosowania:
a) Threat hunting
b) Incident response
c) Attribution (powiązanie ataków z aktorami zagrożeń)
d) Proaktywna analiza infrastruktur C2

Integracja z:
a) SIEM (logowanie wykryć jako zdarzenia)
b) Systemy ticketowe / alertowe (np. Jira, Slack)

Iris Detect
Moduł do monitorowania nowych i podejrzanych domen zorientowany na ochronę marki i prewencję zagrożeń. Automatycznie wykrywa domeny podobne do znanych nazw (typosquatting, homografy), zanim zostaną aktywowane w atakach. Zapewnia ciągły monitoring i alertowanie zespołów bezpieczeństwa. Pomaga zapobiegać phishingowi, spoofingowi oraz utracie reputacji.

Funkcje:
a) Typosquatting Detection: Identyfikacja domen podobnych do znanych marek.
b) Lookalike Domains: Wykrywanie domen wykorzystujących znaki podobne wizualnie (homografy).
c) Monitoring & Alerts: Ciągły monitoring nowych rejestracji i alertowanie o zagrożeniach.
d) Risk Scoring: Ocena ryzyka domen w oparciu o heurystyki i AI.

Zastosowania:
a) Ochrona marki (brand protection) poprzez tworzenie alertów o nowych domenach podobnych do infrastruktury Organizacji.
b) Prewencja phishingu w oparciu o generowanie IOC na etapie rejestracji, zanim domeny zostaną aktywowane.
c) Pozwala na natychmiastową rejestrację domen defensywnych (defensive registration).

Integracja z:
a) SIEM (logowanie wykryć jako zdarzenia)
b) Systemy ticketowe / alertowe (np. Jira, Slack)

Iris Enrich
API do błyskawicznego wzbogacania danych IOC w procesach automatyzacji (SOAR, SIEM, TIP). Dostarcza informacje o reputacji, historii WHOIS, DNS, SSL, ASN i złośliwych powiązaniach domen. Pozwala skrócić czas reakcji przez automatyczny triage i kontekstualną analizę alertów. Kluczowy komponent do integracji danych w ekosystemie bezpieczeństwa organizacji.

Funkcje:
a) API-based enrichment: Integracja z systemami bezpieczeństwa (Splunk, Cortex XSOAR itp.).
b) Dane WHOIS, DNS, SSL, riski: Automatyczne dołączanie pełnych danych o domenie.
c) Reputacja & Ryzyko: Wskazania, czy domena jest powiązana z malware, phishingiem, botnetami.

Zastosowania:
a) Automatyczne tagowanie alertów jako „zaufane” lub „podejrzane”.
b) Wzbogaca IOC (domeny, IP) o dane WHOIS, DNS, SSL, reputację, score ryzyka.
c) Skraca czas MTTR (Mean Time to Respond) przez kontekst i scoring.

Integracja z:
a) SIEM (np. Splunk, QRadar, Elastic)
b) SOAR (np. Cortex XSOAR, Cortex XSIAM)
c) TIP (Threat Intelligence Platforms, np. ThreatConnect, MISP)

Zalety rozwiązania

Kompleksowe podejście do domen: od wykrywania zagrożeń, przez analizę, po automatyzację reakcji

Dostęp do jednych z najbogatszych na świecie danych DNS, WHOIS i SSL

Zaawansowane pivotowanie i korelacja artefaktów pozwala na budowanie pełnych obrazów zagrożeń

Wysoka automatyzacja dzięki API i integracji z systemami SIEM, SOAR i TIP

Wczesne wykrywanie zagrożeń – na etapie rejestracji domen, przed użyciem ich w atakach

Skalowalność — narzędzia sprawdzają się zarówno w małych zespołach SOC, jak i w dużych centrach operacyjnych

Bezpośrednie wsparcie dla działań Incident Response, Threat Hunting i Brand Protection

Co zyskam po wdrożeniu tego produktu

Znaczące skrócenie czasu detekcji i odpowiedzi (MTTD/MTTR). Pełne wzbogacenie alertów i proaktywne wykrywanie zagrożeń umożliwiają szybsze działanie

Proaktywna ochrona powierzchni ataku DNS i reputacji marki. Iris Detect pozwala na blokowanie i reakcję na potencjalne ataki phishingowe zanim nastąpią

Lepsze decyzje dzięki pełnemu kontekstowi danych. Automatyczne enrichment IOC i manualne pivotowanie umożliwiają dokładniejsze analizy i lepsze dowody w IR

Wzrost skuteczności zespołów bezpieczeństwa bez zwiększania ich liczby. Automatyzacja enrichmentu i wykrywania pozwala skupić się na działaniach o wysokiej wartości dodanej

Zmniejszenie ryzyka incydentów związanych z phishingiem, spoofingiem i malware. Szybsze wykrywanie i neutralizowanie zagrożeń na poziomie domen

Wzrost efektywności procesów Threat Intelligence i Incident Response. Integracja narzędzi z istniejącą architekturą SOAR/SIEM/TIP bez dużych kosztów i zmian procesowych

Przewaga strategiczna w walce z aktorami zagrożeń. Pełniejsze zrozumienie powiązań między infrastrukturami zagrożeń umożliwia lepsze przygotowanie i reakcję