Defang / Fang برای URLها و IPها
ورودی
خروجی
جزئیات فنی
ابزار Defang/Fang برای URLها و IPها چگونه کار میکند
این ابزار چه کاری انجام میدهد
ابزار Defang/Fang با جایگزینکردن کاراکترهایی که باعث لینکشدن خودکار میشوند، URLها و آدرسهای IP را به قالبی امن و غیرقابلکلیک تبدیل میکند. در Defang کردن، نقطهها با [.] و جداکنندهٔ طرح (scheme) با [://] جایگزین میشود و رشتههایی مانند hxxps://example[.]com یا 192[.]168[.]1[.]1 تولید میگردد. عملیات معکوس (Fang کردن) شکل قابلکلیکِ اصلی را بازمیگرداند. این یک رویهٔ استاندارد در امنیت سایبری و گزارشدهی اطلاعات تهدید است تا از هدایت ناخواسته به سایتهای مخرب جلوگیری شود.
موارد استفادهٔ رایج برای توسعهدهندگان
تحلیلگران امنیتی هنگام بهاشتراکگذاری شاخصهای نفوذ (IoCها) در گزارشهای رخداد، فیدهای اطلاعات تهدید، هشدارهای SIEM، رشته ایمیلها و کانالهای Slack، URLها و IPها را Defang میکنند تا خوانندگان نتوانند بهطور تصادفی روی لینکهای مخرب کلیک کنند. توسعهدهندگانی که پلتفرمهای اطلاعات تهدید یا ابزارهای SOAR میسازند، از Defang کردن بهعنوان یک مرحلهٔ پیشپردازش قبل از ذخیرهسازی یا نمایش IoCها استفاده میکنند. برای بازگرداندن URLها جهت اسکن خودکار یا جریانهای کاری غنیسازی، Fang کردن لازم است.
قالبها، نوعها یا گونههای داده
در URLهای Defangشده، جداکنندهٔ طرح (http یا https) یعنی :// با [://] و هر نقطه در نام میزبان و مسیر با [.] جایگزین میشود. در آدرسهای IPv4 نیز هر نقطه با [.] جایگزین میشود و قالبهایی مانند 10[.]0[.]0[.]1 ایجاد میگردد. در آدرسهای IPv6 ممکن است دونقطهها با [:] جایگزین شوند. برخی قراردادها همچنین TLD را داخل براکت قرار میدهند؛ برای مثال example[.]com. قالب دقیق ممکن است بین ابزارها و سازمانها متفاوت باشد؛ بنابراین پیش از واردکردن IoCهای Defangشده به سامانههای خودکار، همیشه قالب مورد انتظار را تأیید کنید.
دامهای رایج و حالتهای لبهای
پلتفرمهای مختلف اطلاعات تهدید از قراردادهای Defang کمی متفاوت استفاده میکنند؛ بنابراین یک ابزار Fang باید چندین سبک براکتگذاری را پشتیبانی کند. URLهایی با پورتهای غیراستاندارد یا اطلاعات احراز هویت ممکن است بهخوبی Defang نشوند. Defang کردن یک اقدام ایمنیِ ظاهری است و URL زیربنایی را پاکسازی یا اعتبارسنجی نمیکند — هنگام Fang کردن و واردکردن به پایپلاینهای خودکار، همیشه IoCهای Defangشده را ورودیِ غیرقابلاعتماد در نظر بگیرید.
چه زمانی از این ابزار استفاده کنیم در برابر کُد
برای Defang کردن دستیِ سریع هنگام نوشتن گزارشها یا بهاشتراکگذاری IoCها در چت، از این ابزار مرورگر استفاده کنید. برای پایپلاینهای خودکار اطلاعات تهدید، یک کتابخانه مانند iocextract یا defang (Python) را یکپارچه کنید یا یک ابزار ساده مبتنی بر regex را در زبان دلخواهتان بنویسید تا Defang کردن بهصورت یکنواخت و برنامهوار روی تمام دادههای IoC اعمال شود.