有一套强大的新威胁追踪工具，它被称为 Netlas.io。这个创新平台允许您搜索从全球收集的庞大网络数据集。您可以使用这些数据来丰富您的威胁搜寻，为您的调查添加额外的威胁情报，并绘制对手的攻击面。

在本文中，您将了解是什么让这个平台如此强大，以及如何使用它来执行链接分析，将您的威胁搜寻提升到一个新的水平。让我们开始了解 Netlas.io 到底是什么。

Netlas.io 是什么？

Netlas是一个用于发现、研究和监控在线资产的平台。该平台扫描每个 IPv4 地址并爬行每个网站和应用程序，以生成有关全球资产的丰富网络数据集合。然后，它通过 Netlas 搜索工具提供这些数据。该工具集中包括：

• 主机搜索：有关 IP 地址或域的公共信息的摘要。

• 攻击面发现工具：一种基于图形的工具，可映射目标的攻击面。非常适合威胁追踪和深入了解攻击者可以从外部发现您的组织的哪些内容。

• 响应搜索：扫描特定的一组服务或设备，例如 IP 摄像机、物联网设备、数据库或 Web 服务器。

• DNS 搜索：搜索 Netlas.io 从证书、Whois 记录和定期扫描中收集的 DNS 数据。

• Whois IP 和域名搜索：通过精心策划且结构严谨的 Whois 数据库进行 IP 地址和域名搜索。

• 证书搜索：用于搜索扫描期间从证书透明度日志和主机响应收集的 SSL 证书。

为了有效地使用这些工具， Netlas.io团队构建了一个强大的搜索引擎，允许您使用不同的条件和运算符构建复杂的搜索查询，以搜索 10,000 多个字段。该引擎在后端使用 Elasticsearch，通过 Web 界面或 API 支持通配符、正则表达式、模糊和邻近搜索，让您可以轻松地浏览数据集。

让我们看看 Netlas.io 的实际应用，并了解为什么它是威胁追踪工具库中的强大工具！

使用 Netlas 工具进行威胁追踪

威胁搜寻涉及主动搜索环境中已躲避传统安全工具（例如防病毒、EDR 和 IDS）的威胁。它要求您使用人工驱动的分析、调查和直觉来主动发现可疑或恶意活动的迹象。为了提高效率，您需要一种工具，能够通过智能快速丰富您找到的指标，并帮助您发现要搜索的新数据点。

这就是 Netlas.io 可以改变游戏规则的地方。该工具允许您编写强大的搜索查询来调查您在威胁搜寻期间发现的可疑网络指标，无论是 IP 地址、域名还是 SSL 证书。使用返回的情报，您可以转向新的数据点，更深入地进行威胁搜寻，并完成指标生命周期。

让我们用一个实际的例子来证明这一点。

场景

在网络日志中，您会看到其中一台端点计算机连接到您以前从未见过的可疑 IP 地址。这会提示您收集有关该网络指示器的数据并开始威胁搜寻。

您加载 Netlas.io 并导航到攻击面发现工具以开始可视化链接分析。

接下来，通过从顶部工具栏中选择添加节点图标 (1)、输入 IP 地址 (2) 并从下拉菜单中选择Ip (3) 来添加可疑 IP。

添加后，单击该节点将弹出一个弹出菜单，其中包含有关该节点的其他网络信息，例如 DNS 记录、Whois 数据等。您可以通过选择“搜索”按钮来转出任何这些数据点。

让我们搜索与该 IP 地址相关的域。这将使用相关的 IP 地址 (1) 填充图表，并使用您的节点和搜索数据 (2) 填充右侧面板 - 当您需要搜索、删除或排除节点时非常有用。

您可以将这些域和子域添加到威胁搜寻中，以查看在您查找任何其他可能受到威胁的计算机时是否出现在 DNS 日志中。一个好的开始可能是luxspal.com基于VirusTotal。

另一方面，您可以选择转向这些子域之一，并通过遵循指标生命周期来查找其他指标。例如，luxerntech.com作为与该域关联的另一个 IP 地址。您可以使用“搜索”按钮将此 IP 添加到您的图表中。

该 IP 地址146.19.4.106有与其关联的新域。您可以再次使用“搜索”按钮将它们添加到图表中。

正如您所看到的，我们的指标列表随着我们所做的每一次转变而不断增长，使您能够扩大威胁搜寻范围并发现与原始 IP 地址相关的可疑活动。

结论

可视化链接分析是扩展威胁搜寻并发现其他 IOC 以便基于单个数据点进行调查的好方法。Netlas.io攻击面发现工具是一个完美的工具。您可以快速围绕 Netlas.io 庞大的网络数据集、在右侧面板中管理节点和搜索，甚至保存和导出图表！