威胁管理
最后更新于:
本页面详细说明了管理EventLog Analyzer威胁源的步骤。
启用或禁用默认威胁服务器
什么是默认威胁服务器?
EventLog Analyzer 每天从各种基于 STIX/TAXII 的威胁源(如Firehol、PhishTank、ThreatFox、AlienVault OTX和Cyware)收集威胁信息。 威胁信息(恶意IP、URL及域名)经处理后存储于ManageEngine云服务器。EventLog Analyzer每日安全连接云服务并下载威胁源数据。当恶意来源与企业网络交互时,系统将立即检测并触发告警。
如何启用或禁用默认威胁服务器?
- 前往设置 > 威胁管理 > STIX/TAXII 威胁源订阅。
- 点击操作栏下的启用/禁用图标以启用/禁用默认服务器。

注意:默认服务器不可编辑或删除。
默认情况下,当高级威胁分析(ATA)启用时,默认威胁服务器处于禁用状态,因ATA拥有更庞大精确的威胁数据集。如需启用,可手动重新激活默认威胁服务器。当默认威胁服务器启用时,若ATA未标记特定威胁源,EventLog Analyzer将查询默认威胁服务器的数据库并相应标记威胁源。
如何添加新的STIX/TAXII服务器?
- 前往设置 > 威胁管理 > STIX/TAXII 威胁源。
- 点击添加新服务器。
- 在添加服务器框中:
- 对于自定义STIX/TAXII服务器,请输入显示名称、URL、用户名、密码,并选择服务器的STIX/TAXII版本。
- 对于快速部署服务器,从下拉菜单中选择STIX/TAXII服务器,并按对应服务器要求输入凭证(用户名或API密钥或客户端ID、密码或密钥)。快速部署服务器的URL和显示名称均由EventLog Analyzer自动分配。

选择待配置自定义服务器的STIX/TAXII版本
从下拉框选项中选择快速部署服务器。
- 在"轮询起始"部分,指定需收集数据源的起始日期。
- 在“计划”下拉列表中,选择从TAXII服务器同步数据的计划频率和时间。
- 点击“添加服务器”保存配置。

如何编辑TAXII服务器配置?
- 前往“设置”>“威胁管理”。
- 点击服务器旁的编辑图标。
- 可在此处进行必要调整,例如修改从TAXII服务器同步数据的计划。
- 点击“更新服务器”按钮保存所作更改。
每个服务器的操作列中均提供编辑选项
。

如何删除TAXII服务器?
要删除现有TAXII服务器,
- 前往设置 > 威胁管理。
- 点击需删除服务器的对应删除图标。
- 在删除确认弹出框中点击“是”。

如何管理TAXII服务器数据源?
- 前往设置 > 威胁管理 > STIX/TAXII 数据源。
- 点击需管理的对应服务器的“管理数据源”。
- 点击操作 列下的启用/禁用图标,即可启用 /禁用对应数据源的轮询功能。在弹出窗口中点击“是”进行确认。
- 点击立即轮询可即时轮询该源。


快速部署STIX/TAXII服务器
请遵循上述说明将快速部署的STIX/TAXII威胁情报数据源集成至EventLog Analyzer。您可能需要直接联系供应商获取配置凭证。
AlienVault OTX
深入了解Alienvault OTX API。注册获取API密钥。
Cyware威胁情报
深入了解Cyware威胁情报源。注册获取凭证。
IBM X-Force
了解更多关于IBM X-Force集成方案。购买请点击此处。
卡巴斯基威胁情报
PulseDive 威胁情报
Sectrio 威胁情报
SecAlliance- ThreatMatch情报
EventLog Analyzer支持的快速部署服务器STIX/TAXII版本:
| 序号 | 服务器名称 | STIX/TAXII版本 |
|---|---|---|
| 1 | AlienVault OTX | 1.x |
| 2 | Cyware 威胁情报 | 2.1 |
| 3 | IBM X-Force | 2.0 |
| 4 | 卡巴斯基威胁情报 | 2.1 |
| 5 | Pulsedive 威胁情报 | 2.1 |
| 6 | Sectrio 威胁情报 | 2.1 |
| 7 | SecAlliance-ThreatMatch情报 | 2.1 |