事件工作台中的高级威胁分析

最后更新于:

  1. 请参阅事件工作台概述页面了解该功能,并查看访问页面了解如何从EventLog Analyzer的不同仪表板调用事件工作台。
  2. 要访问高级威胁分析数据,可点击以下任何唯一标识外部数据源的字段:

域分析:

  • 域名
  • 规范名称
  • 客户端域
  • URL站点

IP分析:

  • 远程设备IP
  • 源IP
  • 客户端IP地址
  • 服务器IP地址
  • 地址
  • 目标IP
  • 设备IP
  • 远程IP
  • 源主机地址
  • NAT 源地址
  • NAT 目标地址
  • 目标IP
  • 原始客户端IP
  • IP地址
  • 端点IP
  • 私有IP
  • 目标IP
  • 源设备
  • 目标机器
  • 目标主机地址
  • 目标设备

URL分析:

  • 有效负载网址
  • 对象网址
  • URL

事件日志分析器在事件工作台中支持以下供应商的高级威胁分析:

Log360云威胁分析

此为Log360Cloud套件的默认集成方案,购买EventLog Analyzer的高级威胁分析附加组件后即可启用。

注意:请访问高级威胁分析页面了解配置与分析详情。
Advanced Threat Analytics in Incident Workbench

暗网监控

Advanced Threat Analytics in Incident Workbench

购买高级威胁分析功能后,您还将获得暗网监控权限。可通过自有域名启用该功能,系统将主动扫描暗网中用户数据泄露情况并发送告警。泄露数据可能包含凭证、信用卡信息等敏感内容。安全分析师可据此深入了解数据泄露的严重程度及涉及的信息类型。

VirusTotal

此为第三方威胁情报源集成,采用自带密钥(BYOK)模式。若您已单独购买VirusTotal访问权限或持有免费公共API密钥,即可使用该密钥在EventLog Analyzer中获取威胁分析信息。

注意:请参阅高级威胁分析页面了解配置与分析方法。
Advanced Threat Analytics in Incident Workbench
提示:在EventLog Analyzer中浏览不同页面时,请最小化该标签页以访问事件工作台。只要不关闭工作台,即使注销并重新登录EventLog Analyzer,分析结果仍会保留。您也可将其保存至现有事件或创建新事件。