Mengumpulkan hasil DomainTools Iris Investigate

Dokumen ini menjelaskan cara menyerap hasil DomainTools Iris Investigate ke Google Security Operations menggunakan Amazon S3. Parser mengubah data JSON mentah dari Iris API DomainTools menjadi format terstruktur yang sesuai dengan Unified Data Model (UDM) Google SecOps. Fitur ini mengekstrak informasi terkait detail domain, informasi kontak, risiko keamanan, sertifikat SSL, dan atribut relevan lainnya, lalu memetakannya ke kolom UDM yang sesuai untuk analisis dan intelijen ancaman yang konsisten.

Sebelum memulai

• Instance Google SecOps
• Akses istimewa ke akun perusahaan DomainTools (akses API ke Iris Investigate)
• Akses istimewa ke AWS (S3, IAM, Lambda, EventBridge)

Mendapatkan Kunci API dan Endpoint DomainTools

1. Login ke Dasbor API DomainTools (hanya akun pemilik API yang dapat mereset kunci API).
2. Di bagian Akun Saya, pilih link Lihat Dasbor API yang ada di tab Ringkasan Akun.
3. Buka bagian Nama Pengguna API untuk mendapatkan nama pengguna Anda.
4. Di tab yang sama, temukan Kunci API Anda.
5. Salin dan simpan kunci di lokasi yang aman.

6. Jika Anda memerlukan kunci baru, pilih Reset Kunci API.

7. Perhatikan endpoint Iris Investigate: https://api.domaintools.com/v1/iris-investigate/.

Mengonfigurasi bucket AWS S3 dan IAM untuk Google SecOps

1. Buat bucket Amazon S3 dengan mengikuti panduan pengguna ini: Membuat bucket
2. Simpan Name dan Region bucket untuk referensi di masa mendatang (misalnya, domaintools-iris).
3. Buat pengguna dengan mengikuti panduan pengguna ini: Membuat pengguna IAM.
4. Pilih Pengguna yang dibuat.
5. Pilih tab Kredensial keamanan.
6. Klik Create Access Key di bagian Access Keys.
7. Pilih Layanan pihak ketiga sebagai Kasus penggunaan.
8. Klik Berikutnya.
9. Opsional: tambahkan tag deskripsi.
10. Klik Create access key.
11. Klik Download CSV file untuk menyimpan Access Key dan Secret Access Key untuk digunakan nanti.
12. Klik Selesai.
13. Pilih tab Izin.
14. Klik Tambahkan izin di bagian Kebijakan izin.
15. Pilih Tambahkan izin.
16. Pilih Lampirkan kebijakan secara langsung
17. Telusuri dan pilih kebijakan AmazonS3FullAccess.
18. Klik Berikutnya.
19. Klik Add permissions.

Mengonfigurasi kebijakan dan peran IAM untuk upload S3

1. Di konsol AWS, buka IAM > Policies > Create policy > JSON tab.

2. Masukkan kebijakan berikut:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "AllowPutDomainToolsIrisObjects",
         "Effect": "Allow",
         "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::domaintools-iris/*"
       }
     ]
   }
   

   • Ganti domaintools-iris jika Anda memasukkan nama bucket yang berbeda.

3. Klik Berikutnya > Buat kebijakan.

4. Buka IAM > Roles > Create role > AWS service > Lambda.

5. Lampirkan kebijakan yang baru dibuat.

6. Beri nama peran WriteDomainToolsIrisToS3Role, lalu klik Buat peran.

Buat fungsi Lambda

1. Di Konsol AWS, buka Lambda > Functions > Create function.
2. Klik Buat dari awal.

3. Berikan detail konfigurasi berikut:

   Setelan	Nilai
   Nama	domaintools_iris_to_s3
   Runtime	Python 3.13
   Arsitektur	x86_64
   Peran eksekusi	WriteDomainToolsIrisToS3Role

4. Setelah fungsi dibuat, buka tab Code, hapus stub, lalu masukkan kode berikut (domaintools_iris_to_s3.py):

   #!/usr/bin/env python3
   # Lambda: Pull DomainTools Iris Investigate results to S3 (no transform)
   
   import os, json, time, urllib.parse
   from urllib.request import Request, urlopen
   from urllib.error import HTTPError
   import boto3
   
   # --- Environment ---
   S3_BUCKET    = os.environ["S3_BUCKET"].strip()
   S3_PREFIX    = os.environ.get("S3_PREFIX", "domaintools/iris/").strip()
   STATE_KEY    = os.environ.get("STATE_KEY", "domaintools/iris/state.json").strip()
   
   DT_API_KEY   = os.environ["DT_API_KEY"].strip()
   DT_API_SECRET= os.environ.get("DT_API_SECRET", "").strip()  # optional if your account uses key-only auth
   
   USE_MODE     = os.environ.get("USE_MODE", "HASH").strip().upper()  # HASH | DOMAINS | QUERY
   SEARCH_HASHES= [h.strip() for h in os.environ.get("SEARCH_HASHES", "").split(";") if h.strip()]
   DOMAINS      = [d.strip() for d in os.environ.get("DOMAINS", "").split(";") if d.strip()]
   QUERY_LIST   = [q.strip() for q in os.environ.get("QUERY_LIST", "").split(";") if q.strip()]
   
   PAGE_SIZE    = int(os.environ.get("PAGE_SIZE", "500"))
   MAX_PAGES    = int(os.environ.get("MAX_PAGES", "20"))
   USE_NEXT     = os.environ.get("USE_NEXT", "true").lower() == "true"
   HTTP_TIMEOUT = int(os.environ.get("HTTP_TIMEOUT", "60"))
   RETRIES      = int(os.environ.get("HTTP_RETRIES", "2"))
   
   BASE_URL = "https://api.domaintools.com/v1/iris-investigate/"
   HDRS = {
       "X-Api-Key": DT_API_KEY,
       "Accept": "application/json",
   }
   if DT_API_SECRET:
       HDRS["X-Api-Secret"] = DT_API_SECRET
   
   s3 = boto3.client("s3")
   
   # --- HTTP helpers ---
   
   def _http_get(url: str) -> dict:
       req = Request(url, method="GET")
       for k, v in HDRS.items():
           req.add_header(k, v)
       attempt = 0
       while True:
           try:
               with urlopen(req, timeout=HTTP_TIMEOUT) as r:
                   return json.loads(r.read().decode("utf-8"))
           except HTTPError as e:
               if e.code in (429, 500, 502, 503, 504) and attempt < RETRIES:
                   delay = int(e.headers.get("Retry-After", "2"))
                   time.sleep(max(1, delay))
                   attempt += 1
                   continue
               raise
   
   def _build_url(params: dict) -> str:
       return BASE_URL + ("?" + urllib.parse.urlencode(params, doseq=True) if params else "")
   
   # --- S3 helpers ---
   
   def _write_page(obj: dict, label: str, page: int) -> str:
       ts = time.strftime("%Y/%m/%d/%H%M%S", time.gmtime())
       key = f"{S3_PREFIX.rstrip('/')}/{ts}-{label}-p{page:05d}.json"
       s3.put_object(
           Bucket=S3_BUCKET, Key=key,
           Body=json.dumps(obj, separators=(",", ":")).encode("utf-8"),
           ContentType="application/json",
       )
       return key
   
   # --- Iris paging ---
   
   def _first_page_params() -> dict:
       params: dict[str, object] = {"page_size": str(PAGE_SIZE)}
       if USE_NEXT:
           params["next"] = "true"
       return params
   
   def _paginate(label: str, params: dict) -> tuple[int, int]:
       pages = 0
       total = 0
       url = _build_url(params)
       while pages < MAX_PAGES:
           data = _http_get(url)
           _write_page(data, label, pages)
   
           resp = data.get("response") or {}
           results = resp.get("results") or []
           total += len(results)
           pages += 1
   
           # Prefer `next` absolute URL if present
           next_url = resp.get("next") if isinstance(resp, dict) else None
           if next_url:
               url = next_url
               continue
   
           # Fallback: position pager when `next=true` not used/supported
           if resp.get("has_more_results") and resp.get("position"):
               base = _first_page_params()
               base.pop("next", None)
               base["position"] = resp["position"]
               url = _build_url(base)
               continue
   
           break
       return pages, total
   
   # --- Mode runners ---
   
   def run_hashes(hashes: list[str]) -> dict:
       agg_pages = agg_results = 0
       for h in hashes:
           params = _first_page_params()
           params["search_hash"] = h
           p, r = _paginate(f"hash-{h}", params)
           agg_pages += p
           agg_results += r
       return {"pages": agg_pages, "results": agg_results}
   
   def run_domains(domains: list[str]) -> dict:
       agg_pages = agg_results = 0
       for d in domains:
           params = _first_page_params()
           # DomainTools accepts `domain` as a filter in Investigate search
           params["domain"] = d
           p, r = _paginate(f"domain-{d}", params)
           agg_pages += p
           agg_results += r
       return {"pages": agg_pages, "results": agg_results}
   
   def run_queries(queries: list[str]) -> dict:
       agg_pages = agg_results = 0
       for q in queries:
           # Merge arbitrary k=v pairs from the query string
           base = _first_page_params()
           for k, v in urllib.parse.parse_qsl(q, keep_blank_values=True):
               base.setdefault(k, v)
           p, r = _paginate(f"query-{q.replace('=','-')}", base)
           agg_pages += p
           agg_results += r
       return {"pages": agg_pages, "results": agg_results}
   
   # --- Entry point ---
   
   def lambda_handler(event=None, context=None):
       if USE_MODE == "HASH" and SEARCH_HASHES:
           res = run_hashes(SEARCH_HASHES)
       elif USE_MODE == "DOMAINS" and DOMAINS:
           res = run_domains(DOMAINS)
       elif USE_MODE == "QUERY" and QUERY_LIST:
           res = run_queries(QUERY_LIST)
       else:
           raise ValueError("Invalid USE_MODE or missing parameters. Set USE_MODE to HASH | DOMAINS | QUERY and provide SEARCH_HASHES | DOMAINS | QUERY_LIST accordingly.")
   
       return {"ok": True, "mode": USE_MODE, **res}
   
   if __name__ == "__main__":
       print(json.dumps(lambda_handler(), indent=2))
   

5. Buka Configuration > Environment variables > Edit > Add new environment variable.

6. Masukkan variabel lingkungan berikut, ganti dengan nilai Anda:

   Kunci	Nilai Contoh	Deskripsi
   S3_BUCKET	domaintools-iris	Nama bucket S3 tempat data akan disimpan.
   S3_PREFIX	domaintools/iris/	Awalan S3 opsional (subfolder) untuk objek.
   STATE_KEY	domaintools/iris/state.json	Kunci file status/titik pemeriksaan opsional.
   DT_API_KEY	DT-XXXXXXXXXXXXXXXXXXXX	Kunci API DomainTools.
   DT_API_SECRET	YYYYYYYYYYYYYYYYYYYYYYYY	Rahasia API DomainTools (jika berlaku).
   USE_MODE	HASH | DOMAINS | QUERY	Pilih mode yang akan digunakan (hanya satu yang aktif dalam satu waktu).
   SEARCH_HASHES	hash1;hash2;hash3	Wajib jika USE_MODE=HASH. Daftar hash penelusuran tersimpan yang dipisahkan dengan titik koma dari UI Iris.
   DOMAINS	example.com;domaintools.com	Wajib jika USE_MODE=DOMAINS. Daftar domain yang dipisahkan dengan titik koma.
   QUERY_LIST	ip=1.1.1.1;ip=8.8.8.8;domain=example.org	Wajib jika USE_MODE=QUERY. Daftar string kueri yang dipisahkan titik koma (k=v&k2=v2).
   PAGE_SIZE	500	Baris per halaman (default 500).
   MAX_PAGES	20	Jumlah maksimum halaman per permintaan

7. Setelah fungsi dibuat, tetap buka halamannya (atau buka Lambda > Functions > your-function).

8. Pilih tab Configuration

9. Di panel Konfigurasi umum, klik Edit.

10. Ubah Waktu tunggu menjadi 15 menit (900 detik), lalu klik Simpan.

Membuat jadwal EventBridge

1. Buka Amazon EventBridge > Scheduler > Create schedule.
2. Berikan detail konfigurasi berikut:
   • Jadwal berulang: Tarif (1 hour).
   • Target: fungsi Lambda Anda.
   • Name: domaintools-iris-1h.
3. Klik Buat jadwal.

Opsional: Buat pengguna & kunci IAM hanya baca untuk Google SecOps

1. Di Konsol AWS, buka IAM > Users, lalu klik Add users.
2. Berikan detail konfigurasi berikut:
   • Pengguna: Masukkan nama unik (misalnya, secops-reader)
   • Jenis akses: Pilih Kunci akses - Akses terprogram
   • Klik Buat pengguna.
3. Lampirkan kebijakan baca minimal (kustom): Pengguna > pilih secops-reader > Izin > Tambahkan izin > Lampirkan kebijakan secara langsung > Buat kebijakan

4. Di editor JSON, masukkan kebijakan berikut:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": ["s3:GetObject"],
         "Resource": "arn:aws:s3:::<your-bucket>/*"
       },
       {
         "Effect": "Allow",
         "Action": ["s3:ListBucket"],
         "Resource": "arn:aws:s3:::<your-bucket>"
       }
     ]
   }
   

5. Tetapkan nama ke secops-reader-policy.

6. Buka Buat kebijakan > telusuri/pilih > Berikutnya > Tambahkan izin.

7. Buka Kredensial keamanan > Kunci akses > Buat kunci akses.

8. Download CSV (nilai ini dimasukkan ke dalam feed).

Mengonfigurasi feed di Google SecOps untuk menyerap hasil DomainTools Iris Investigate

1. Buka Setelan SIEM > Feed.
2. Klik Tambahkan Feed Baru.
3. Di kolom Nama feed, masukkan nama untuk feed (misalnya, DomainTools Iris Investigate).
4. Pilih Amazon S3 V2 sebagai Jenis sumber.
5. Pilih DomainTools Threat Intelligence sebagai Jenis log.
6. Klik Berikutnya.
7. Tentukan nilai untuk parameter input berikut:
   • URI S3: s3://domaintools-iris/domaintools/iris/
   • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda.
   • Usia File Maksimum: Default 180 Hari.
   • ID Kunci Akses: Kunci akses pengguna dengan akses ke bucket S3.
   • Kunci Akses Rahasia: Kunci rahasia pengguna dengan akses ke bucket S3.
   • Namespace aset: domaintools.threat_intel
   • Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.
8. Klik Berikutnya.
9. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Tabel Pemetaan UDM

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.