高级威胁分析

最后更新于:

高级威胁分析功能通过潜在恶意网址、域名和IP地址的信誉评分,为威胁严重性提供宝贵洞察。要在EventLog Analyzer中使用高级威胁分析功能,需购买附加组件。

高级威胁分析附加组件购买:

  • 购买高级威胁分析附加组件,请点击此处
  • 购买并应用附加组件许可后,请前往设置 → 管理员设置 → 管理 → 威胁源。高级威胁分析选项卡将出现在 STIX/TAXII 威胁源选项卡旁边。配置相应源即可访问威胁分析数据。
enable-advanced-threat-analytics

概述

  1. 供应商支持:

    事件日志分析器支持以下供应商的高级威胁分析数据:

    • Log360云威胁分析

      默认集成自Log360云套件。购买附加组件后即可访问。

    • VirusTotal

      第三方威胁情报源集成。采用自带密钥(BYOK)模式。若已单独购买VirusTotal访问权限,可使用API密钥在事件日志分析器中获取威胁分析信息。

  2. 访问

    用户可通过以下方式获取不同使用场景的高级威胁分析信息:

    • 调查场景排查外部威胁源,可通过外部威胁报表和事件工作台访问威胁分析信息。
    • 检测默认威胁告警规则可检测与外部威胁源的交互行为。应用高级威胁分析扩展后,告警将获得精准调优以降低误报率。

外部威胁报表

导航路径:EventLog Analyzer 主页 >报表> 从左上角下拉菜单选择威胁>威胁分析 > 外部威胁

外部威胁报表包含威胁来源、严重程度、信誉评分等信息。

  • 查看选定时间段内"受攻击最严重主机"及"按类别划分的威胁"报表。
  • threat-management-schedule-interval
  • 点击威胁来源列中的URL和IP地址,选择"转至事件工作台",即可从集成威胁源获取上下文风险数据
  • external-threat-alerts-advanced-threat-analytics
    external-threat-alerts-advanced-threat-analytics

告警

在告警汇总页面查看生成的告警,点击威胁分析图标可打开事件工作台进行深入分析。

external-threats