威胁管理

最后更新于:

启用或禁用默认威胁服务器

什么是默认威胁服务器?

EventLog Analyzer 每天从各种基于 STIX/TAXII 的威胁源(如Firehol、PhishTank、ThreatFox、AlienVault OTXCyware)收集威胁信息。 威胁信息(恶意IP、URL及域名)经处理后存储于ManageEngine云服务器。EventLog Analyzer每日安全连接云服务并下载威胁源数据。当恶意来源与企业网络交互时,系统将立即检测并触发告警。

如何启用或禁用默认威胁服务器?

  1. 前往设置 > 威胁管理 > STIX/TAXII 威胁源订阅
  2. 点击操作栏下的启用/禁用图标以启用/禁用默认服务器。
  3. Default threat server
注意:默认服务器不可编辑或删除。

默认情况下,当高级威胁分析(ATA)启用时,默认威胁服务器处于禁用状态,因ATA拥有更庞大精确的威胁数据集。如需启用,可手动重新激活默认威胁服务器。当默认威胁服务器启用时,若ATA未标记特定威胁源,EventLog Analyzer将查询默认威胁服务器的数据库并相应标记威胁源。

如何添加新的STIX/TAXII服务器?

  1. 前往设置 > 威胁管理 > STIX/TAXII 威胁源
  2. 点击添加新服务器
  3. 在页面右上角找到"添加新服务器"按钮。
  4. 添加服务器框中:
    • 对于自定义STIX/TAXII服务器,输入显示名称、URL、用户名、密码,并选择服务器的STIX/TAXII版本
    • 选择待配置自定义服务器的STIX/TAXII版本

    • 对于快速部署服务器,从下拉菜单中选择STIX/TAXII服务器,并按对应服务器要求输入凭证(用户名或API密钥或客户端ID、密码或密钥)。快速部署服务器的URL和显示名称均由EventLog Analyzer自动分配。
    • 从下拉框选项中选择快速部署服务器

  5. 在"轮询起始"部分,指定需收集数据源的起始日期。
  6. 在“计划”下拉列表中,选择从TAXII服务器同步数据的计划频率和时间。
  7. 点击“添加服务器”保存配置。

如何编辑TAXII服务器配置?

  1. 前往“设置”>“威胁管理”
  2. 点击服务器旁的编辑图标
  3. 每个服务器的操作列中均提供编辑选项

  4. 可在此处进行必要调整,例如修改从TAXII服务器同步数据的计划。
  5. 点击“更新服务器”按钮保存所作更改。

如何删除TAXII服务器?

要删除现有TAXII服务器,

  1. 前往设置 > 威胁管理
  2. 点击需删除服务器的对应删除图标
  3. 每个服务器的操作列中均提供删除选项
  4. 在删除确认弹出框中点击“是”

如何管理TAXII服务器数据源?

  1. 前往设置 > 威胁管理 > STIX/TAXII 数据源
  2. 点击需管理的对应服务器的“管理数据源”
  3. 管理源选项位于每个服务器的专用列中。
  4. 点击操作 列下的启用/禁用图标,即可启用 /禁用对应数据源的轮询功能。在弹出窗口中点击“是”进行确认。
  5. 点击立即轮询可即时轮询该源。

快速部署STIX/TAXII服务器

请遵循上述说明将快速部署的STIX/TAXII威胁情报数据源集成至EventLog Analyzer。您可能需要直接联系供应商获取配置凭证。

AlienVault OTX

深入了解Alienvault OTX API。注册获取API密钥。

Cyware威胁情报

深入了解Cyware威胁情报源。注册获取凭证

IBM X-Force

了解更多关于IBM X-Force集成方案。购买请点击此处

卡巴斯基威胁情报

了解更多关于卡巴斯基威胁情报源的信息。购买请点击此处

PulseDive 威胁情报

了解更多关于PulseDive 的信息。购买请点击此处

Sectrio 威胁情报

了解更多关于Sectrio的信息。购买请点击此处

SecAlliance- ThreatMatch情报

了解更多ThreatMatch信息。购买请点击此处

EventLog Analyzer支持的快速部署服务器STIX/TAXII版本:

序号 服务器名称 STIX/TAXII版本
1 AlienVault OTX 1.x
2 Cyware 威胁情报 2.1
3 IBM X-Force 2.0
4 卡巴斯基威胁情报 2.1
5 Pulsedive 威胁情报 2.1
6 Sectrio 威胁情报 2.1
7 SecAlliance-ThreatMatch情报 2.1