高级威胁分析
最后更新于:
高级威胁分析功能通过潜在恶意网址、域名和IP地址的信誉评分,为威胁严重性提供宝贵洞察。要在EventLog Analyzer中使用高级威胁分析功能,需购买附加组件。
高级威胁分析附加组件购买:
- 购买高级威胁分析附加组件,请点击此处。
- 购买并应用附加组件许可后,请前往设置 → 管理员设置 → 管理 → 威胁源。高级威胁分析选项卡将出现在 STIX/TAXII 威胁源选项卡旁边。配置相应源即可访问威胁分析数据。
概述
- 供应商支持:
事件日志分析器支持以下供应商的高级威胁分析数据:
- Log360云威胁分析
默认集成自Log360云套件。购买附加组件后即可访问。
- VirusTotal
第三方威胁情报源集成。采用自带密钥(BYOK)模式。若已单独购买VirusTotal访问权限,可使用API密钥在事件日志分析器中获取威胁分析信息。
- Log360云威胁分析
- 访问
用户可通过以下方式获取不同使用场景的高级威胁分析信息:
- 调查场景:为排查外部威胁源,可通过外部威胁报表和事件工作台访问威胁分析信息。
- 检测:默认威胁告警规则可检测与外部威胁源的交互行为。应用高级威胁分析扩展后,告警将获得精准调优以降低误报率。
外部威胁报表
导航路径:EventLog Analyzer 主页 >报表> 从左上角下拉菜单选择威胁>威胁分析 > 外部威胁
外部威胁报表包含威胁来源、严重程度、信誉评分等信息。
- 查看选定时间段内"受攻击最严重主机"及"按类别划分的威胁"报表。
- 点击威胁来源列中的URL和IP地址,选择"转至事件工作台",即可从集成威胁源获取上下文风险数据
告警
在告警汇总页面查看生成的告警,点击威胁分析图标可打开事件工作台进行深入分析。