帮助文档

高级威胁分析

现代安全团队不能仅依赖日志数据来发现潜在攻击。我们需要比触发了哪个错误更多的信息,而内部日志无法为我们提供这些数据。Log360 Cloud中的高级威胁分析(ATA)功能获取有关恶意IP和带有信誉评分的域的数据,并利用这些数据提醒管理员有任何可疑IP尝试连接您的网络。

要启用高级威胁分析,请按照以下步骤操作:

  1. 使用管理员权限登录Log360 Cloud应用程序 .
  2. 转到 设置 → 管理 → 管理 → 威胁管理 → 高级威胁分析.
  3. Log360 Cloud为您提供两种选择,

高级威胁分析

默认威胁服务器

启用后,Log360 Cloud会关联OTX AlienVault、FireHol、PhishTank和ThreatFox中的信息,如果匹配则触发警报。此选项仅获取黑名单IP数据。

注意:所有Log360 Cloud客户均可访问此基本威胁情报功能。

高级威胁分析

概述

高级威胁分析功能通过潜在恶意URL、域名和IP地址的信誉评分提供有关威胁严重性的有价值见解。

此选项允许Log360 Cloud通过关联威胁情报源中的关键数据来提供有关潜在攻击的更多上下文。

注意:此功能作为增值服务向所有Log360 Cloud客户提供。您可以在威胁配置页面或许可页面购买ATA增值服务。

高级威胁分析

  1. 供应商支持: Log360 Cloud支持以下供应商的高级威胁分析数据:
    • Log360 Cloud威胁分析

      Log360 Cloud套件的默认集成。购买增值服务后即可访问。
    • Constella Intelligence

      购买高级威胁分析后,您可访问暗网监控。您可以使用已授权的域配置暗网监控以监控与您的组织相关的潜在威胁。
    • VirusTotal

      第三方威胁情报源集成。遵循自带密钥(BYOK)模式。如果您已单独购买VirusTotal访问权限,可以使用您的API密钥在Log360 Cloud中获取威胁分析信息。

  2. 访问

      以下是用户如何访问不同用例的高级威胁分析信息:

    • 调查:要调查外部威胁来源,可以通过外部威胁报告访问威胁分析信息以及 事件工作台.
    • 发现: 默认威胁 警报规则检测与外部威胁来源的交互。应用高级威胁分析增值服务后,警报将被精确调整以减少误报。 外部威胁报告

导航:Log360 Cloud首页 >

> 选择 报告 左上角下拉菜单中的 威胁 > 威胁分析 > 外部威胁 报告包含有关威胁来源、严重性、信誉评分等信息。

默认威胁 报告包含有关威胁来源、严重性、信誉评分等信息。 查看所选时期内的

  • 受攻击主机排名 按类别分类的威胁报告 点击威胁源列中的IP并选择 转至事件工作台

    • 高级威胁分析

  • 以获取集成威胁情报的上下文风险数据 设置外部威胁警报

    • 高级威胁分析

    高级威胁分析

选项卡,转到

  1. 管理配置文件 -> 添加警报配置文件 警报 需要选择警报时,选择 作为.
  2. 警报日志类型 > 并选择 单选按钮,然后单击 保存 报告包含有关威胁来源、严重性、信誉评分等信息。 Log360 Cloud将在恶意IP尝试连接您的网络时发送警报。 注意:.
  3. 启用默认威胁或高级威胁分析,或在许可升级时购买ATA增值服务时,将自动创建名为“
”的警报配置文件。
  • 启用“自动添加新设备”将自动为所有新添加的设备激活该警报配置文件。报告包含有关威胁来源、严重性、信誉评分等信息。Log360 Cloud威胁分析
  • 购买高级威胁分析增值服务后,Log360 Cloud威胁分析将默认启用。

高级威胁分析

分析

”的警报配置文件。 Log360 Cloud威胁分析可在事件工作台中使用。

log360cloud-threat-analytics

了解

如何从Log360 Cloud的不同仪表板调用事件工作台。 若要理解Log360 Cloud威胁分析报告中使用的不同术语,请使用左下角的帮助卡片。 在工作台中选择任意IP或域进行分析。您可以访问以下数据:

log360cloud-threat-analytics

”的警报配置文件。 信息

log360cloud-threat-analytics

本节包含威胁源的信誉评分,范围为0-100。

  • :风险因子与信誉评分成反比。

    您还可以查看信誉评分趋势图、威胁源状态(是否仍在威胁列表中)、类别、威胁列表中的出现次数及其从威胁列表中解除的时间。

    • 注意地理信息

    地理信息包含威胁源的地点映射详细信息,例如城市、州、区域以及域的Whois信息。

    log360cloud-threat-analytics

    log360cloud-threat-analytics

  • 相关指标

    本节包含相关IP和域的风险概况。

    • log360cloud-threat-analytics

  • 相关指标通过跟踪IP、URL、文件和移动应用之间的关系,利用预测威胁情报确定与该网络交互的新源是否具有恶意。

    上下文:

    假设检测到一次攻击源自特定IP地址。可能还有许多其他IP地址、URL、文件或移动应用与该初始IP相关联。了解这些关联源并在它们与您的网络交互时识别它们至关重要,因为幕后攻击者可能也控制这些关联源。

    • 上下文类型 上下文类型包含特定威胁源的相关指标列表。点击下拉菜单选择相关指标的类型。

    log360cloud-threat-analytics

  1. 威胁等级

    威胁等级根据风险级别对相关指标进行分类。

  2. 以下为五个风险等级,按降序排列:

    高风险

    The following are the 5 risk levels in descending order:

    • High Risk
    • 可疑
    • 中等风险
    • 低风险
    • 可信赖
  3. 相关指标通过跟踪IP、URL、文件和移动应用之间的关系,利用预测威胁情报确定与该网络交互的新源是否具有恶意。

    这是威胁源和相关指标:

威胁源 - IP

相关指标 描述
托管的 URL 映射到特定 IP 地址的网站。
ASN(自治系统编号) 唯一标识威胁源所属更大 IP 组的相关 ASN。
托管的文件 托管在特定 IP 上的文件。

威胁源 - 域名

相关指标 描述
虚拟托管域名 共享同一服务器且拥有唯一域名的网站。
子域名 携带特定前缀的不同网页属于同一个域名。
托管的文件 域名托管的文件
托管的 IP 可映射到特定域名的 IP 地址。
共同注册人 拥有和管理该域名的个人或组织。
限制: 用户在特定关系下每个威胁级别仅能查看最多 1000 个相关指标。

威胁证据

本节包含安全供应商针对尝试攻击或恶意活动产生的证据,这些活动可追溯到特定威胁源。

威胁证据涵盖导致某 IP 被标记为恶意的一系列事件。响应内容包括:

  • 事件最初被观察到的时间戳。
  • 事件持续发生的时间段。
  • 此系列事件是否严重到被认定为可能的威胁。
  • 检测到的具体威胁类型及威胁指示器的其他附加详情。

log360cloud-threat-analytics

log360cloud-threat-analytics

威胁证据示例 1:网络钓鱼

log360cloud-threat-analytics

威胁证据示例 2:域名托管的文件

log360cloud-threat-analytics

限制:由于信息从蜜罐及其他内部集成处检索不完整,部分威胁证据可能不可用。

Constella Intelligence 集成

概述

Constella Intelligence 专注于数字风险防护,包括监控暗网及其他在线渠道,以减轻欺诈、网络犯罪和品牌滥用等威胁。与 Log360 Cloud 集成可增强威胁检测,提供全面的数字风险视图,实现主动品牌保护,确保合规性,促进高效的事件响应。

配置暗网威胁源:

  1. 使用 管理员权限.
  2. 转到 设置 → 管理 → 管理 → 威胁管理 → 高级威胁分析登录 Log360 Cloud 应用。继续配置相应的威胁源以访问威胁分析数据。

    3. 威胁源

  3. 点击下图中的“配置”来配置暗网威胁源。
  4. 点击配置后,将弹出窗口提示输入要监控暗网暴露的电子邮件域名。输入后,提供该域名的有效电子邮件地址以进行验证。
    5. 注意:配置电子邮件域名需要匹配的许可证。请确保配置的域名与已购买的许可证相关联。

    威胁源

    威胁源

  5. 一次性密码(OTP)将发送至输入的电子邮件地址。OTP 验证成功后,您的域名将配置为监控暗网泄露。

    6. 威胁源

  6. 配置成功后,您将看到确认页面,显示您的域名已成功配置用于监控暗网泄露。

    7. 威胁源

  7. 若要重新配置另一个域名进行监控,请点击“重新配置”。配置弹窗将出现,请按照首次域名配置时的相同步骤操作。

    8. 威胁源

  8. 若要禁用暗网威胁源,取消勾选复选框。系统将弹出提示;选择“是”以禁用暗网监控。

    9. 威胁源

  9. Log360 Cloud 的威胁分析和暗网监控是独立功能,可单独启用或禁用。

    10. 威胁源

    威胁源

泄露报告

威胁源

电子邮件分析

威胁源

注意:Constella Intelligence 日志的保留期与存储保留期相同。

提供的功能:

  • 威胁分析仪表板标签页: 方便定位已发生在配置域内的泄露事件。
  • 泄露报告: 访问详细泄露报告。
  • 供应链泄露预定义警报: 接收供应链泄露警报。

VirusTotal

”的警报配置文件。 VirusTotal 是最大实时威胁源之一,整合了来自众多安全厂商的 IP、URL、域名和文件风险评分。Log360 Cloud 中的此集成采用“自带密钥”(BYOK) 模型。如果您已单独购买了 VirusTotal 访问权限,可使用您的 API 密钥在 Log360 Cloud 中分析威胁源。

VirusTotal 服务条款:

用户可以通过两种方式访问 VirusTotal API:

  1. 公共 API:免费访问,但有限制,包括请求频率限制和优先级较低访问。
  2. 高级 API:提供无限制请求频率和优先访问权,并包含额外权益。

建议:对于业务流程,推荐使用高级 API 进行集成。

欲了解更多 VirusTotal、其 服务条款, 隐私政策API 使用,请 访问其官网.

配置

注意:请参阅 VirusTotal 的 隐私政策 内容,了解用户提交数据如何用于分析,以及其数据处理、共享、保留和删除政策。

购买 Advanced Threat Analytics 附加组件并应用许可证后,请前往 高级威胁分析 页面。

导航路径: 设置管理员 管理威胁管理 高级威胁分析 VirusTotal 集成

VirusTotal

获取 VirusTotal API 密钥:

  1. 访问 https://www.virustotal.com 并注册 VirusTotal 账户。
  2. 登录 VirusTotal,查找您的 API 密钥,路径为 用户名→设置→API 密钥.
  3. 使用 VirusTotal 提供的 API 密钥与 Log360 Cloud 集成。

VirusTotal

粘贴 API 密钥并点击 连接 完成 VirusTotal 配置。

VirusTotal

了解

在 Log360 Cloud 中,用户可以通过事件工作台访问 VirusTotal 数据。 若要理解Log360 Cloud威胁分析报告中使用的不同术语,请使用左下角的帮助卡片。 在工作台中选择任意IP或域进行分析。您可以访问以下数据:

VirusTotal

”的警报配置文件。 欲了解 VirusTotal 报告中的不同术语,请使用左下角的帮助卡。

VirusTotal

本节包含威胁源的信誉评分,范围为0-100。

  • VirusTotal 信息

    本节包含威胁源的检测评分,即标记该威胁源为风险的安全厂商数量占总安全厂商数量的比例。此外,还提供威胁源的基本信息及地理位置信息。

    • VirusTotal

  • 安全厂商分析

    本节包含 85+ 家安全厂商的单独分析,如 SOCRadar、Fortinet、Forcepoint ThreatSeeker 和 ArcSight Threat Intelligence。

    • VirusTotal

    点击左上角的搜索图标,可根据安全厂商、分析类别和分析结果筛选。

    VirusTotal

    这是分析类别:

    • 恶意
    • 可疑
    • 无害
    • 未检测
    • 超时

    VirusTotal

  • Whois 信息

    本节包含威胁源域名的 Whois 信息。

    • VirusTotal

  • SSL 证书

    本节包含颁发给威胁源的 SSL 证书详情及颁发机构。

    • VirusTotal

  • 相关文件

    本节通过以下方式映射文件与 IP 地址的关系:

    • 与 IP 地址通信的文件
    • 从 IP 地址下载的文件
    • 包含该 IP 地址的文件

    • VirusTotal

  • 解析记录

    本节包含特定域名的过去和当前 IP 解析记录。

    • VirusTotal

© 2025 Zoho Corporation Pvt. Ltd. 保留所有权利。