纪要涉及的公司 Splunk公司的Attack Analyzer产品 纪要提到的核心观点和论据 - **核心观点**：Attack Analyzer能有效解决传统安全工具在应对复杂攻击链时的不足，提供自动化、高效且全面的威胁分析 [18][19] - **论据** - **传统安全工具面临的挑战**：安全运营中难以理解和分析威胁，攻击面不断变化，攻击速度快且复杂，传统工具需多种工具组合，平均需六种工具进行调查和预警，且在手动分析环节易出现威胁 undetected、停留时间长等问题，解决调查平均需三小时 [7][8][9][12][17] - **Attack Analyzer的优势**：自动化威胁分析，避免手动操作，不降低工作质量，能像SOC分析师一样思考；提供端到端威胁分析的智能自动化和自动响应；能处理复杂攻击链，如破解验证码、处理密码保护、绕过诱饵页面和二维码等；可解决误报和漏报问题，提供额外防御层 [18][19][20][24] - **实际演示证明**：通过分析一封移动激活邮件，展示Attack Analyzer能深入分析邮件内容，解密PDF文件，处理二维码，追踪攻击链，最终发现可执行文件及其恶意行为，整个过程仅需七分钟 [32][37][41][99] 其他重要但是可能被忽略的内容 - **数据提交方式**：有API提交、邮件提交、通过SOAR的API提交等多种方式，可与企业安全和SOAR集成，还可手动提交 [28][29] - **高级功能** - **IP地址选择**：提供全球不同住宅IP地址，自动选择最佳范围进行分析，也可手动选择 [83] - **用户代理选择**：自动选择最佳用户代理进行检测，手动提交时也可自行选择 [85] - **密码处理**：若邮件无密码，使用不同密码列表解压有效负载，手动操作时可输入已知密码 [86] - **URL引擎**：默认使用Cisco Talos、Google safe等多个URL声誉引擎，可选择开启或关闭 [87] - **检测引擎**：包括Web Analyzer、archive extraction engines、clam AV、email analyzer、static doc analysis、static file analysis等，各有功能且可定制，还提供YARA规则 [87][88][89][90][91][93][94] - **第三方集成**：可与其他类型沙箱集成，不限于Windows沙箱 [96] - **用户交互与反馈**：可提交误报和漏报反馈，下载整个攻击链的PDF报告，查看归一化取证信息，包括MITRE ATT框架、网络统计、主机信息、连接信息等 [98][99][100][101] - **常见问题解答** - **零日攻击分析**：使用机器学习模型和人工智能方法分析零日攻击 [113] - **产品费用**：Attack Analyzer是单独产品，但部分功能如URL声誉搜索包含在内 [124] - **报告访问**：可通过Attack Analyzer的邮件域名或创建宏与邮件客户端关联，由用户决定访问方式 [125] - **密码保护文件处理**：邮件无密码时使用密码列表尝试，有密码则提取使用 [127] - **沙箱避免检测方法**：使用自定义镜像，去除虚拟机标识，模拟人类行为 [129][130] - **支持文件类型**：默认支持Windows环境，可与用户选择的沙箱集成，支持Linux二进制文件等 [131]