Integrated System

Joshua ha intrapreso un percorso di integrazione con soluzioni di terze parti per aumentare il grado di interoperabilità. Di seguito si riportano le piattaforme di terze parti integrate con Joshua.

Microsoft Sentinel

Microsoft Sentinel è una soluzione scalabile cloud-native per la gestione di informazioni ed eventi di sicurezza (SIEM, Security Orchestration, Automation, and Response). Microsoft Sentinel offre un servizio di aggregazione per analisi di sicurezza e intelligence, offrendo in un’unica soluzione il rilevamento degli attacchi, la visibilità dei pericoli, la ricerca proattiva e la risposta alle minacce.

Joshua offre tramite Sentinel un servizio di IoC feed che espone gli indicatori di compromissione delle campagne malevole che sono stati ottenuti tramite logiche di cyber threat intelligence.

Dal servizio è possibile ricavare informazioni necessarie ad istruire e configurare firewall ed altri apparati di sicurezza, per poter arricchire liste di blocco degli IP, riconoscere gli hash dei virus, aggiornare liste di spam, aggiungere regole yara per determinare se un file sia malevolo ed altri utilizzi personalizzati. Il feed di Joshua invia a Sentinel informazioni relative a: IP, URL, Domini, Hash di file e indirizzi e-mail.

Joshua permette di importare con cadenza periodica tutti gli indicatori di compromissione all’interno di Sentinel per poterli correlare con le altre info a disposizione sulla piattaforma. Inoltre, è possibile utilizzare strumenti di ricerca che recuperano in modo automatizzato informazioni aggiuntive nella base dati di Joshua per arricchire eventi e rilevazioni generate da Sentinel.

Il servizio viene erogato tramite una Solution di Microsoft Sentinel, installabile e configurabile direttamente dal marketplace presente in Sentinel. La Solution è denominata “Joshua Cyberiskvision” e si compone di vari Playbook Sentinel che eseguono le attività di import dei dati a cadenza periodica. In aggiunta sono disponibili altri Playbook dedicati all’arricchimento di incidenti di sicurezza ed eventi mediante una ricerca di informazioni nella piattaforma Joshua in tempo reale.

In dettaglio, i playbook disponibili sono:

Joshua-Indicators-Processor-IP: Esegue l’import degli IOC relativi ad IP che sono coinvolti in attacchi o altre attività malevole.

Joshua-Indicators-Processor-URL: Esegue l’import degli IOC relativi agli URL che costituiscono una minaccia per la navigazione web (phishing, diffusione di virus, etc).

Joshua-Indicators-Processor-DOMAIN: Esegue l’import degli IOC relativi ai domini che costituiscono una minaccia per la navigazione web (phishing, diffusione di virus, etc).

Joshua-Indicators-Processor-FILE: Esegue l’import degli IOC relativi agli hash di file malevoli e virus.

✓ Joshua-Indicators-Processor-EMAIL: Esegue l’import degli IOC relativi ad indirizzi e-mail che distribuiscono contenuti malevoli ed eseguono attività di phishing o spam.

✓ Joshua-Intel-Enrichment-IP: Permette di ricercare nella base dati Joshua un singolo IP di cui si vuole eseguire un’analisi per ottenere informazioni aggiuntive su eventuali attività malevole in cui è stato coinvolto.

✓ Joshua-Intel-Enrichment-URL: Permette di ricercare nella base dati Joshua un singolo URL/Dominio di cui si vuole eseguire un’analisi per ottenere informazioni aggiuntive su eventuali attività malevole in cui è stato coinvolto.

Joshua-Intel-Enrichment-FILE: Permette di ricercare nella base dati Joshua un singolo hash di file di cui si vuole eseguire un’analisi per ottenere informazioni aggiuntive su eventuali attività malevole in cui è stato coinvolto.

I playbook “Joshua Indicators” possono essere schedulati in modo personalizzato per recuperare a cadenza periodica i dati più aggiornati. I playbook “Joshua Intel Enrichment” possono essere utilizzati da Microsoft Sentinel per arricchire in modo automatico le informazioni di un evento che è stato rilevato dal sistema.

In fase di installazione della Solution, il sistema richiederà un token di accesso per interfacciarsi alle API di Joshua. Tale token è generabile all’interno delle impostazioni di Joshua, recandosi su “Settings > API & Integrations > API Key”.

A seconda delle esigenze è possibile concordare il numero di query disponibili mensilmente per il recupero delle informazioni. Ogni primo del mese tale limite viene riportato al valore 0.

L’API che eroga il servizio prevede un rate-limit di massimo 2 chiamate al secondo. È necessario assicurarsi di non personalizzare i Playbook di Microsoft Sentinel violando questo limite onde evitare un momentaneo blocco dell’IP chiamante.

Maltego

Maltego è lo strumento internazionale di riferimento per gli analisti di Threat Intelligence. Supporta gli analisti ad eseguire analisi di dati di Intelligence e Forensi tramite collegamenti grafici, data mining e raccolta di informazioni in tempo reale. Elemento distintivo è una rappresentazione delle informazioni su grafico basato su nodi interattivi che rendono facilmente identificabili modelli e relazioni dei dati.

Joshua ha sviluppato un set di Trasform, cioè un sistema integrato con Maltego per consente agli analisti di Threat Intelligence di arricchire le proprie analisi su Maltego con i dati resi disponibili da Joshua.

Per utilizzare la Trasform di Joshua, è necessario configurare un Internal Hub Item su Maltego.

Le istruzioni ed i dati necessari per suddetta configurazione, sono disponibili in Joshua: Settings > API & Integration

Terminata la configurazione su Maltego, sarà disponibile la Transform custom, connessa con Joshua.

Per poter eseguire le richieste su Maltego, è necessario utilizzare la chiave API, anch’essa presente nei Settings di Joshua, come mostrato nell’immagine.

Terminata la configurazione saranno disponibili per gli analisti diversi Transform per ottenere le seguenti informazioni attingendo ai dati appartenenti al proprio Tenant su Joshua:

  • Servizi, porte, protocolli, certificati e altre info relativi a FQDN e IP.
  • Presenza di malware o altre anomalie di un sito web.
  • Eventuali compromissioni di un indirizzo e-mail.
  • Infoleak e Dataleak dell’azienda.

Di seguito si riporta uno use case di esempio. Partendo da un sito web, l’analista può eseguire il trasform Joshua «Get FQDN Postural Info» per ottenere le principali informazioni recuperate dalla scansione postural del suo Tenant. In questo modo, senza lasciare l’applicativo Maltego, è possibile eseguire correlazioni con i dati disponibili su Joshua per arricchire le analisi.

MISP

Il MISP è un Open Source Threat Intelligence and Sharing Platform che facilita lo scambio e la condivisione di informazioni sulle minacce, Indicators of Compromise (IoC) su malware e attacchi mirati, frodi finanziarie o qualsiasi informazione di intelligence all’interno della tua comunità. MISP rappresenta un modello distribuito contenente informazioni tecniche e non tecniche che possono essere condivise all’interno di comunità chiuse, semi-private o aperte. Lo scambio di tali informazioni comporta un rilevamento più rapido degli attacchi mirati e migliora il tasso di rilevamento, riducendo al contempo il numero di falsi positivi.

Concentrandosi sull’automazione e sugli standard, MISP fornisce API ReST estensibili (tramite moduli misp) e librerie aggiuntive, che sono state integrate con Joshua per scambiare IoC per arricchire la propria base dati e per condividere la propria base dati, tramite i principali formati e modelli, quali ad esempio STIX e TAXII server.