随着网络攻击的不断发展,防止网络入侵变得越来越困难。最重要的是,大量的误报使真正的威胁难以识别。在这个不断变化的安全环境中,机构之间共享威胁情报以及预防和防御策略已成为打击网络攻击的关键。
EventLog Analyzer的威胁情报模块是定制的,用于通过诸如STIX、TAXII和AlienVault OTX等国际威胁订阅源来共享威胁情报。借助EventLog Analyzer,当恶意IP源与您的网络交互时,您可以通过电子邮件和短信接收即时告警。
遇到问题时,通过以下方式检测攻击:
这样一来,您可以快速高效地抵御网络安全攻击。
如果您的网络受到攻击,那么您可能需要关联网络中的多个事件以确认并分析攻击;但是,事件关联会延长任何潜在入侵者在您网络中的停留时间。
如果您知道某个实体之前有过可疑行为(得益于STIX、TAXII和其他威胁信息源),那么您可以在该实体与您的网络交互后立即采取行动,以便迅速减轻威胁。
ManageEngine EventLog Analyzer将恶意IP检测的范围扩大到包含全球IP黑名单,从而形成强大的威胁情报平台,使您能够迅速减轻攻击。使用威胁情报是一种迅速可靠的方法,可用于识别网络入侵,从而减轻数据泄露的附带危害。
EventLog Analyzer处理基于AlienVault OTX的订阅源和基于STIX / TAXII的订阅源,以便在全球黑名单IP和URL与您的网络交互时向您发出实时告警。
STIX提供了用于描述网络威胁信息的通用语言,因此它可被共享、存储并以一致方式使用,从而可帮助自动完成网络威胁防御任务。STIX通过向网络防御者、网络威胁分析师、恶意软件分析师、安全工具供应商、安全研究人员和威胁共享社区提供标准化威胁信息,以帮助网络和系统抵御网络威胁。
TAXII是社区的共同努力成果,旨在规范化网络威胁信息的可信自动交换。TAXII定义了一组服务和消息交换,在实施时,它们允许机构相互共享可操作的网络威胁信息。
AlienVault OTX (Open Threat Exchange)是全球最大的众包计算机安全平台。总共有140个国家或地区的26,000多名参与者每天共享超过100万个潜在威胁。
OTX社区以脉冲形式报表和接收威胁数据。一个OTX脉冲由一个或多个攻击指标(IOC)组成,这些指标构成一个威胁或定义可用于对网络设备和计算机执行攻击的一系列操作。OTX脉冲还提供有关威胁信息的可靠性和报表威胁的人员的信息,以及有关威胁调查的其他重要细节。
除以下威胁订阅源外,EventLog Analyzer还会分析来自威胁情报应用程序的日志数据,以识别恶意软件攻击、源IP和目标IP、端口扫描、病毒及有源传感器之类的关键事件。EventLog Analyzer提供对受欢迎的供应商(包括FireEye、Barracuda、WatchGuard和Symantec)的安全解决方案的现成支持。