在当今不断变化的威胁格局中,有效缓解威胁的关键是早期威胁检测,而这一过程的关键是获取最新的全球威胁信息。然而,组织内部并不拥有此类信息。结构化威胁信息表达(STIX)/可信的I智能信息自动交换(TAXII)协议以填补这一空白,为识别和共享威胁信息提供了全球适用的标准。
EventLog Analyzer威胁和智能平台的最大优势之一是它支持STIX/TAXII协议。EventLog Analyzer处理基于STIX/TAXII的提要,当全局被阻止列出的IP和URL与您的网络交互时,实时提醒您。
STIX为描述网络威胁信息提供了一种通用语言,因此可以以一致的方式共享、存储和以其他方式使用,促进自动化。STIX通过让网络捍卫者、网络威胁分析师、恶意软件分析师、安全工具供应商、安全研究人员和威胁共享社区访问标准化的威胁信息,帮助保护网络和系统免受网络威胁。
TAXII是一项社区努力,旨在标准化可信的、自动的网络威胁信息交换。TAXII定义了一套服务和消息交换,一旦实施,使组织能够相互共享可操作的网络威胁信息。
EventLog Analyzer威胁情报平台平台支持两种不同格式的STIX/TAXII协议,即STIX 1/TAXII 1.0及其继任者STIX 2/TAXII 2.0和STIX 2.1/TAXII 2.1。
STIX标准的第一个版本被称为STIX 1/TAXII 1.0。为了表示和交换威胁情报数据,STIX 1/TAXII 1.0主要使用可扩展标记语言(XML)。然而,STIX 1/TAXII 1.0有一定的限制。由于其冗长而复杂的数据模型,STIX 1/TAXII 1.0很难使用和理解。使用STIX 2/TAXII 2.0和STIX 2.1/TAXII 2.1简化了数据模型,这提高了其可用性和直观性。
考虑到这些限制,并满足组织的需求,EventLog Analyzer扩大了对STIX 2/TAXII 2.0和STIX 2.1/TAXII 2.1版本的支持。它们提供了一个适应性更强、可互操作性和现代的架构,用于代表和交换网络安全威胁和情报。JavaScript对象符号(JSON)是这些版本用于表示威胁和智能数据的主要格式。此外,STIX 2通过其结构化和标准化的数据模型提供丰富的威胁和智能数据,允许表示和共享有关网络威胁的广泛信息。
收集和分析来自路由器、交换机、防火墙、IDS/IPS、Linux/Unix服务器等的Syslog数据。获取每个安全事件的深入报表。接收异常和违规的实时告警。
分析事件日志数据以检测安全事件,如文件/文件夹更改、注册表更改等。使用预定义的报表详细研究DDoS、Flood、Syn和Spoof攻击。
遵守监管授权的严格要求,即PCI DSS、FISMA、HIPAA等预定义报表和告警。自定义现有报表或构建新报表,以满足内部安全需求。
监控来自Active Directory基础架构的所有类型的日志数据。实时跟踪故障事件,并构建自定义报表,以监控您感兴趣的特定活动目录事件。
监控和跟踪特权用户活动,以满足PUMA要求。获取有关关键活动的开箱即用报表,如登录失败、登录失败原因等。
监控和审计打印服务器,其中包含有关打印文档的详细报表,尝试在未经适当许可的情况下打印文档,打印作业失败及其原因等。
需要功能吗?告诉我们
如果您想查看在EventLog Analyzer中实现的其他功能,我们很乐意听到。点击此处继续