在此页面上
介绍
本章包含以下主题:
瞻博网络 ATP 设备的自适应检测交换矩阵:深度防御
安全专家一致认为,网络威胁解决方案跟不上新兴犯罪生态系统的步伐。不断发展的威胁策略采用更隐蔽、更阴险的机制来渗透网络并窃取知识产权和专有数据。云计算、BYOD 和社交媒体在多平台企业环境中的使用越来越多,这意味着整个行业对“深度防御”的要求越来越深。
瞻博网络 ATP 设备的持续流量监控和无缝、可扩展、多线程、多平台恶意软件引爆引擎核心可提供真正可操作的上下文感知检测和智能。这就是瞻博网络 ATP 设备的自适应检测交换矩阵。瞻博网络 ATP 设备产品使用智能核心技术的独特组合来检测导致违规行为的规避威胁:行为分析和机器学习为每个企业的事件响应团队提供优先警报,从而消除过载并显著缩短响应时间。
瞻博网络 ATP 设备是业界首款广泛深入部署的分布式威胁防护解决方案,可提供情境感知的多平台高级威胁检测和缓解系统,从而阻止所有 Web 和电子邮件杀伤链媒介上的针对性攻击和零日攻击。借助自适应的反规避检测,瞻博网络 ATP 设备的智能和分析信息可以随着高级威胁的发展而发展。
Web-borne Threats:
瞻博网络 ATP 设备 Web 流量收集器可保护企业免受 Web 传播的威胁。Web 流量收集器通过交换机上的镜像/监控端口、网络分流器或负载平衡器对网络流量进行持续监控和检查。瞻博网络 ATP 设备 Web 收集器分析网络流量和通信,执行数据包捕获并评估恶意软件的迹象。在初始检测和分析阶段之后,Web 收集器将所有网络对象交付到瞻博网络 ATP 设备核心检测引擎内引爆,同时使用检测化的虚拟化和仿真技术识别和测试检测到的恶意软件的特征。流量收集器提取有效负载以及发送到核心的信封信息。Web 收集器还可以检测命令和控制 (CnC) 通信。
Email-borne Threats and Email Phishing Correlation:
瞻博网络 ATP 设备还提供针对电子邮件攻击媒介的保护,通过检测和防止高级恶意软件通过电子邮件中的附件和 URL 感染端点来抵御鱼叉式网络钓鱼攻击,这些附件和 URL 旨在危害主机和/或启动敏感组织数据的 CnC 提取。邮件流量收集器可通过邮件传输代理 (MTA) 瞻博网络 ATP 设备接收器配置为密件抄送或电子邮件日记。
Core Windows & Mac OSX Threat Detonation Engines:
作为瞻博网络 ATP 设备核心的一部分,多阶段、多操作系统引爆引擎对嵌入在常见文件格式、电子邮件附件、URL 二进制文件和 Web 对象中的高级恶意软件、零日攻击和有针对性的 APT 攻击执行详细的上下文感知取证分析。核心和 Mac OSX 辅助核心还执行回调分析,以跟踪高级恶意软件和渗透。
基于设备的灵活、纯软件、适用于 Amazon Web Services (AWS) 或 OVA VM 分布式部署的 VCore
瞻博网络 ATP 设备可扩展威胁防御系统通过瞻博网络 ATP 设备部署、SaaS 或虚拟机选项,旨在与现有基础架构和网络安全服务集成并加以利用。瞻博网络 ATP 设备允许您自定义其技术和组件,以匹配您的网络环境。
SMB Lateral Detection Support:
通过瞻博网络 ATP 设备高级许可证,SMB 协议栈的监控和分析包括提取客户端之间或客户端与服务器之间的文件传输,类似于瞻博网络 ATP 设备当前监控 HTTP 流量的方式。使用 SMB 横向检测时,下载恶意软件的终结点是目标终结点,为恶意软件提供服务的主机是威胁源。该事件使用其中每个主机的 IP 地址。这种“东西向”流量监控,除了已建立的入口和出口流量“南北向”监控之外,还有助于识别传播到企业内其他主机的恶意软件,跟踪从“患者零”开始的进展。由于 HTTP 很少用于组织内的终结点之间的通信,因此 SMB(请参阅 SMB 横向检测)已被证明可以在组织内和文件共享之间传输恶意软件。
Network and Endpoint Mitigation with Remediation Prioritization:
瞻博网络 ATP 设备生成可操作的情报,并针对每个确定的威胁提供缓解选项;这是瞻博网络 ATP 设备高级防御系统的重要组成部分。网络路径和企业端点缓解措施的优先级(特别是针对对您的企业最重要的威胁)来自威胁情报评估(称为瞻博网络 ATP 设备威胁指标)的组合:
Threat Severity — 检测到的恶意软件的行为和目标
Threat Progression — 攻击杀伤链的阶段
Threat Relevance — 恶意软件是否被静态分析扫描程序(如 VirusTotal)识别或阻止;目标操作系统在目标端点上是否可用;下载的执行是否发生在端点;以及被攻击网段的自定义配置资产价值是否对企业构成重大风险
有关更多信息,请参阅本指南的威胁指标优先级映射
Open API Platform Incident Tracking:
瞻博网络 ATP 设备中央管理器还提供基于 HTTP 的全面开放平台 API,用于访问所有威胁和处理数据以及设备和软件配置。请参阅 瞻博网络 ATP 设备 HTTP API。
瞻博网络 ATP 设备的架构可实现更快、更准确的检测。瞻博网络 ATP 设备系统通过关联的机器学习采用四个协作维度的恶意软件分析:
网络
静态
声誉
动态(行为)
瞻博网络 ATP 设备检测和分析具有上下文感知功能,可识别受感染的端点,同时提供有关每种感染的可操作情报。瞻博网络 ATP 设备使用真正的机器学习而不是启发式捷径,捕获零日威胁,包括针对更多文件类型和更多平台的装甲和抗虚拟机恶意软件,其行为痕迹比任何其他技术都多。
瞻博网络 ATP 设备产品提供针对特定攻击媒介检测到的威胁事件的详细信息,并支持通知、报告以及与阻止缓解和安全分析工作流程的实时集成。
高级威胁分析 (ATA)
瞻博网络 ATP 设备的高级威胁分析功能对于事件响应至关重要,可提供威胁活动的全面视图。虽然许多组织已经实施了安全信息和事件管理 (SIEM) 平台,但由于缺乏统一的威胁上下文,限制了能够对威胁做出即时、明智响应的操作智能的有效性。瞻博网络 ATP 设备 ATA 使您的安全团队能够最大限度地发挥现有安全工具捕获的情报的价值,使分析师能够优化其分析和响应来自 SIEM 系统的数据的能力,同时更好地了解与 SIEM 事件相关的事件上下文。
瞻博网络 ATP 设备 ATA 可以全面了解来自不同信息源的威胁活动,例如:
活动目录
端点防病毒,
防火墙
安全 Web 网关
入侵检测系统
端点检测和响应工具
传统的安全设备收集有价值的信息,但由于设备不是专门寻找高级威胁,因此大部分信息未被使用。瞻博网络 ATP 设备的 ATA 查看不同来源的数据,识别高级恶意特征并关联事件,以便全面了解威胁的杀伤链。这在入侵防御系统等嘈杂设备的情况下特别有用。不使用 SIEM 的客户也会从中受益,因为 ATA 直接从其网络中的其他安全设备提取数据,以保护他们免受网络攻击。
瞻博网络 ATP 设备 ATA 专注于负责分类和调查恶意软件事件的第 1 层和第 2 层安全分析师的日常工作流程。向安全分析师提供主机和用户时间线,以揭示目标主机上发生的特定事件。在几分钟内,非检测专家的 1 级分析师可以轻松确定事件所需的行动过程。借助 ATA,分析师可以获得全面的信息来确定威胁的确切性质,以及它是否是需要上报给第 2 层团队进行缓解的高级威胁。第 2 层分析师可以腾出时间来专注于经过审查的高级威胁,并使用 ATA 提供的时间线视图对主机和用户执行详细调查。这种整体信息视图可为响应团队提供丰富的数据,其中包括威胁上下文、主机标识和最终用户标识,而无需手动数据聚合和分析。
高级持续性威胁 (APT) 的单一管理平台视图
通过提供来自企业外围以及横向企业网络内部高级威胁的单一管理平台视图,瞻博网络 ATP 设备的可见性和关联情报可以唯一地识别下一代威胁(通常绕过其他解决方案),以便管理员或事件响应团队能够快速减轻对企业的威胁。
瞻博网络 ATP 设备网络威胁杀伤链进展
“杀伤链”被定义为构成网络威胁特征的攻击媒介和攻击阶段。瞻博网络 ATP 设备可检测和分析网络威胁杀伤链中的所有扩展链路 — 提供独特的网络安全解决方案,为杀伤链上的所有相关网络流量和数据及其相关攻击媒介提供全面且可操作的可见性。
利用 |
Xp |
可能使用户暴露于恶意对象的活动。 |
下载 |
DL |
下载标识为恶意的对象。 |
用户上传 |
UP |
在端点执行的数据上传。 |
执行 |
EX |
在企业端点上执行恶意代码 [通过炭黑响应 API 集成识别] |
感染 |
IN |
确定的感染证据(CnC,IVP验证)。 |
横向扩展 |
LS |
检测到在东西向流量中的企业主机之间传播。 |
钓鱼 |
PHS |
带有恶意 URL 的电子邮件(通常与下载相关) |
瞻博网络 ATP 设备杀伤链检测称号
XP + UP + DL + EX + IN + LS + PHS
瞻博网络 ATP 设备独一无二的分层推理和机器学习引擎采用虚拟化和仿真对象分析,结合瞻博网络 ATP 设备的分布式大数据关联引擎,准确、动态地检测网络流量中的高级恶意软件威胁,并生成有关对您的特定组织重要的威胁的可操作情报。
瞻博网络 ATP 设备的多操作系统检测引擎(Windows 和 Mac OS X)提供恶意软件引爆以及所有攻击媒介的详细上下文感知覆盖,并深入分析威胁杀伤链上的所有攻击阶段活动。除了网络端点的炭黑响应集成外,还通过沿网络路径的 Palo Alto Networks (PAN)、瞻博网络 SRX 防火墙、Cisco ASA、Check Point 防火墙、Fortinet 防火墙和 BlueCoat Proxy SG 集成提供即时验证和自动缓解。瞻博网络 ATP 设备提供的按需端点 IVP(感染验证包)将瞻博网络 ATP 设备的高级威胁防御功能完整循环,以保护您企业的整个基础架构。
瞻博网络 ATP 设备的分布式架构旨在打破威胁杀伤链,同时适应几乎任何企业网络架构。瞻博网络 ATP 设备使用瞻博网络 ATP 设备独特的基于对象的流量收集器技术,将流量数据和网络对象的持续检测与威胁检测和分析分开。与现有的分析和引爆技术相比,分布式瞻博网络 ATP 设备系统具有显著优势,因为它允许以极具成本效益的方式在整个网络中部署各种流量收集器,在动态行为分析周期内产生更少的延迟,并扩大企业网络及其杀伤链漏洞的可见性和覆盖范围。
的终止链进展映射
瞻博网络 ATP 设备的威胁情报可以精确定位并突出显示:
构成杀伤链进展的威胁方面
“杀伤链”中的攻击位置
有关恶意软件与实现预期杀伤和发布杀伤暴露的接近程度的上下文指标
上下文感知检测和瞻博网络 ATP 设备英特尔
最近,使用高级规避技术的高级有效载荷交付机制显着增加。这些威胁经过秘密设计,目的是绕过网络安全解决方案,方法是在持续攻击期间动态变化,并通过在多个协议层上并行执行变得可堆叠,从而使传统安全解决方案难以检测到它们。此外,有效载荷的交付主要分布在多个平台(如移动或 Web)上,或分布在较长时间内。
由于当前安全解决方案缺乏上下文感知和完全可见性,规避攻击之所以成功。在早期阶段检测高级规避威胁的挑战与以下事实有关:安全解决方案和分析人员必须找到大量低级信号,并将各种威胁的适当部分相互关联。这滋生了复杂性,因为数据是结构化和非结构化信号的组合,以及来自不同网段的各种级别的元数据。考虑到大多数企业基础架构的规模和复杂性,验证、确定相关威胁的优先级和缓解这些威胁的任务需要瞻博网络 ATP 设备的分布式架构覆盖范围和上下文感知、以对象为中心的智能。
检测高级威胁的先决条件是通过利用分布式架构与“长期”数据分析相结合,并深入评估威胁对整个生态系统的影响来建立全面的可见性。了解威胁的各个方面如何相互关联是阻止确定的对手所必需的。
瞻博网络 ATP 设备产品套件提供了一种独特的解决方案,该解决方案结合了来自 Web/电子邮件流量收集器和引爆引擎的情报技术,以提供深度防御架构。这种端到端关联可保护整个企业网络,并充当保护层,抵御采用高级恶意软件的攻击。
相关联
情境感知型瞻博网络 ATP 一体机产品套件协同运行时,可补充企业架构其他层级的有效性,同时支持现有安全基础架构。下图显示了分布式企业部署,其中每个可用配置都有设备,并且部署了瞻博网络 ATP 设备中央管理器以进行集中收集和检测管理。
瞻博网络 ATP 设备多平台产品套件
瞻博网络 ATP 设备的多操作系统产品解决方案旨在监控和保护整个企业免受来自所有威胁媒介的恶意攻击。许多威胁使用不同的通道和增量阶段来绕过传统的保护措施。当用户单击 URL 时,攻击可能会进入网络,从而导致一系列偷渡式下载,在搜索漏洞时攻击浏览器。瞻博网络 ATP 一体机产品套件组件协同工作,以检测和阻止此类混合威胁。
产品组件 |
部署位置 |
型号选项 |
瞻博网络 ATP 设备核心引擎 (Windows) |
位于企业网络、群集部署和/或远程分支机构中的任何位置 |
瞻博网络 ATP700 设备 |
瞻博网络 ATP 设备虚拟或辅助核心引擎 (Windows) |
位于企业网络和/或远程分支机构中的任何位置;逻辑连接到主核心。 |
瞻博网络 ATP 设备、OVA VM、适用于 AWS 的 vCore 或纯软件 |
瞻博网络 ATP 设备中央管理器 |
作为 [主] 核心的一部分,位于企业网络中的任何位置;管理流量收集器对象和多平台引爆引擎检测、分析和报告 (Web UI)。 |
与核心引擎一起打包 [群集部署时为主要核心] |
瞻博网络 ATP 设备 Web 流量收集器 |
定位在任何网络位置;最典型的:互联网(或网络)出口。如果存在 Web 代理,请参阅下一章中的可选部署方案。 |
瞻博网络 ATP 设备 Web 收集器设备,虚拟、OVA 或纯软件 |
瞻博网络 ATP 设备电子邮件流量收集器 |
位于反垃圾邮件网关和网络的内部邮件服务器(如 MS-Exchange)之间。电子邮件收集器不会分析来自 SPAN 端口的电子邮件;部署需要一个帐户登录到特殊的电子邮件帐户(日记或密件抄送),以获取电子邮件,以便使用 POP 或 IMAP 进行分析。 |
瞻博网络 ATP 设备核心或 Allin- One System 的一个组件 |
瞻博网络 ATP 设备辅助核心(Mac OSX 检测) |
位于企业网络和/或远程分支机构中的任何位置;逻辑连接到主核心。 |
适用于 Mac Mini 设备的瞻博网络 ATP 设备软件 |
瞻博网络 ATP 一体机 |
位于企业网络中的任何位置。以逻辑方式连接 Mac Mini 辅助核心以实现 Mac OSX 检测覆盖范围。 (中央经理 |核心 (视窗) |收集器) |
瞻博网络 ATP700 设备 |
全球安全服务 |
针对任何瞻博网络 ATP 设备 CM/核心设备或一体化设备进行配置。 |
服务 |
群集或虚拟 |
软件和基于云的部署:虚拟收集器、适用于 AWS 的虚拟核心和 vCore (OVA) |
多种选择;请参阅相应的瞻博网络 ATP 设备快速入门指南 |
瞻博网络 ATP 设备核心和辅助核心引爆引擎
瞻博网络 ATP 设备的核心将 Windows 平台恶意软件分析与 Mac OS X 监控和恶意软件检测集成在一起。
瞻博网络 ATP 设备 Windows 引爆引擎驻留在核心上(无论您是在企业网络或 Amazon 云中实施一体化部署,还是集群部署、虚拟或物理核心/CM 部署)。
瞻博网络 ATP 设备 MAC OS X 引爆室(辅助核心)在 Mac Mini(非瞻博网络提供)上运行,用于检测 Web 和电子邮件流量中的已知和未知威胁。
瞻博网络 ATP 设备核心中央管理器与瞻博网络 ATP 设备的 GSS(全球安全服务)协同工作,协调其 Web UI 显示和威胁视图中的所有检测和情报数据。
瞻博网络 ATP 设备引爆引擎完全执行可疑流量对象:代码、附件、文件和 URL。当流量移入和流经瞻博网络 ATP 设备的检测执行引擎时,瞻博网络 ATP 设备收集器自动化功能会通过一系列已知规则的静态、信誉、网络和行为推理序列移动可疑流量,并进行机器学习调整。
在Core Windows和Mac OS X中,可疑的恶意软件在虚拟化环境中执行并经过全面检查。在瞻博网络 ATP 设备的核心 Windows 和 Mac OS X 环境中,允许真实世界的恶意软件触发零日攻击、升级和其他新一代功能,以便瞻博网络 ATP 设备可以检查和评估其全部潜在威胁。
在虚拟化室中引爆后,恶意软件接下来会使用仿真来运行其步伐。例如,瞻博网络 ATP 设备 Web 设备的内部核心 Windows 和 Mac OS X 模拟实际网络用户与 Web 服务器之间可疑 Web 事务的浏览器(客户端)端,以确定 Web 服务器是否试图感染浏览器。可疑代码在仿真引擎内部重放和分析,使其能够发现以前可能未见过的多态或零日恶意软件。瞻博网络 ATP 设备的恶意软件防护系统引擎可以识别并阻止对企业的真正威胁,并在中央管理器仪表板、事件选项卡和缓解页面中以详细报告的形式提供分析,供恶意软件修复和取证团队使用。
瞻博网络 ATP 设备引爆引擎会累积有关所检查威胁的详细信息:恶意软件分析结果提供与恶意软件关联的 IP 地址、采用的网络协议、目标特定端口,以及有关攻击者如何隐藏、通信和分发有效负载的情报。瞻博网络 ATP 设备利用这些数据捕获恶意软件与其远程命令和控制 (CnC) 中心之间的回调以及所有数据交换。通过详细的上下文驱动的恶意软件分析和威胁指标报告,管理员可以从中央管理器中选择可用的实时缓解选项,包括瞻博网络 ATP 设备的集成式 PAN OS、SRX、Cisco ASA、Check Point、Fortinet 和 BlueCoat ProxySG 缓解措施、端点感染验证(瞻博网络 ATP 设备 IVP),以及炭黑响应瞻博网络 ATP 设备合作伙伴响应系统,用于内部的实时端点缓解措施, 以及企业网络外围。
更多瞻博网络 ATP 设备核心信息的快速链接
有关瞻博网络 ATP 设备核心的初始安装和配置的信息,请参阅适用于您的产品的瞻博网络 ATP 设备快速入门指南:
瞻博网络 ATP 设备一体化系统快速入门指南
瞻博网络 ATP 设备核心/CM 快速入门指南
适用于 AWS 的瞻博网络 ATP 设备虚拟核心快速入门指南
瞻博网络 ATP 设备流量收集器
瞻博网络 ATP 设备流量收集器设备扫描和分析 Web 对象和电子邮件以识别恶意威胁。Web 收集器检查网络回调并执行对象收集,包括用户会话数据和链接回溯。电子邮件收集器执行电子邮件附件收集和电子邮件元数据检查。
瞻博网络 ATP 设备收集器可以部署为物理设备、纯软件 ISO 或虚拟机 OVA。收集器连接到网络交换机 SPAN/TAP 端口。
对于多租户 MSSP,可以为租户特定的 MSSP 站点部署瞻博网络 ATP 设备流量收集器。有关详细信息,请参阅 多租户 Web 收集器区域:托管安全服务提供商 (MSSP) 支持 。
此外,还提供适用于 Mac Mini 的便携式小型流量收集器 OSI。
多租户 Web 收集器区域: 托管安全服务提供商 (MSSP) 支持
瞻博网络 ATP 设备在租户站点集成了流量收集器部署。每个租户配置的收集器都连接到托管在 MSSP 站点上的瞻博网络 ATP 设备核心群集。所有事件管理均由 MSSP 执行;租户无权访问核心群集。
在瞻博网络 ATP 设备中央管理器 Web UI 中定义配置的区域,以识别和关联每个租户的事件和事件。MSSP 为每个租户定义一个区域,并将与租户关联的所有收集器分组到特定于租户的区域,然后将该区域添加到瞻博网络 ATP 设备 CM Web UI 区域配置页面。此后,所有事件关联进程将跟踪每个原始区域的事件,并关联同一区域中的事件。这样,多租户 MSSP 就可以使用瞻博网络 ATP 设备中央管理器管理每个区域/租户的事件。
流量收集器性能、置信度和诊断显示
新的中央管理器 Web UI 收集器仪表板(Web 和电子邮件)中提供了流量收集器性能指标。
顶级运行状况指示器摘要采用颜色编码,以指示收集器的总体运行状况。例如:
脱机收集器的指示灯为红色。
已降级收集器的指示灯为黄色。
当所有元素都标称时,指标为绿色。
单击收集器仪表板页面上的运行状况指示器将打开系统仪表板。“系统运行状况”页汇总了所有系统警报。
无需用户配置或操作。
Web UI 网络杀伤链进度映射
日志事件扩展格式 (LEEF) 是 IBM® Security QRadar® 的定制事件格式。瞻博网络 ATP 设备支持以 LEEF 格式发送针对恶意软件事件发送 SIEM 威胁警报,以实现 QRadar 集成。
需要在 QRadar 服务器上安装 DSM-Juniper ATP 设备扩展插件。
有关配置信息,请参阅配置 SIEM 设置 和 CEF、LEEF 和 SIEM 的系统日志支持用户指南。
集成网络 |端点缓解
基于对象的端到端恶意软件防御分两部分执行:检测和缓解。要阻止基于 Web 的威胁,需要在配置过程中将瞻博网络 ATP 设备核心与网络 IPS/新一代防火墙、代理或 Web 网关集成。此外,Carbon Black Response 和 Crowdstrike Endpoint 集成以及瞻博网络 ATP 设备 IVP 感染验证包可确保端点保护。中央管理器 Web UI 仪表板、事件和缓解页面上的瞻博网络 ATP 设备威胁视图支持实时事件响应。有了这些集成系统,还会在出站主动检测和阻止恶意 CnC 回调。
瞻博网络 ATP 设备利用其深入的威胁情报,利用企业现有的安全基础架构详细说明防御措施并确定其优先级:将自动缓解功能与现有 FW、SWG 和 IPS 集成。通过这种方式,瞻博网络 ATP 设备可以将每个主机 IP 地址的恶意内容推送到 Palo Alto Networks 防火墙、Cisco ASA、Check Point、Fortinet 或瞻博网络 SRX 防火墙设备等中的现有阻止规则,或者将与检测到的威胁相关联的 URL 推送到 PAN 防火墙或 BlueCoat ProxySG。
瞻博网络 ATP 设备端点缓解选项:
瞻博网络 ATP 设备全球安全服务 (GSS)
与现有安全和阻止基础架构集成,包括自动和主动缓解选项以及 URL 阻止
通过中央管理器 Web UI 进行误报 (FP) 和漏报 (FN) 报告。
SIEM 集成和 CEF 日志记录支持
瞻博网络 ATP 设备阻止和实施支持选定的网络和端点供应商/合作伙伴,如 Carbon Black Response 和 Crowdstrike。
瞻博网络 ATP 设备感染验证包 (IVP)
Crowdstrike 端点集成
瞻博网络 ATP 设备的“CrowdStrike 端点集成”是对瞻博网络 ATP 设备已建立的 Carbon Black Response 集成的补充,用于端点威胁检测和缓解。具体而言,Crowdstrike 端点集成可确定瞻博网络 ATP 设备通过企业网络检测到的二进制文件是否在端点上执行。然后将瞻博网络 ATP 设备事件标记为“EX”,以指示更高的威胁风险,以帮助事件响应团队评估其响应。
要在瞻博网络 ATP 设备中央管理器 Web UI 上配置 CrowdStrike 集成,用户需要输入:
CrowdStrike Falcon API 服务器主机名
CrowdStrike Falcon API 用户
CrowdStrike Falcon API 密钥
在“瞻博网络 ATP 设备中央管理器 Web UI 事件”页面上,如果端点执行了检测到的恶意软件,则会显示漏洞利用 (EX) 标志。Web UI 会自我更新,以便在端点主机上执行特定文件时显示来自端点代理的信息。
必须启用 AD 集成作为 Crowdstrike 端点集成的先决条件。
有关配置信息,请参阅 配置端点集成:人群罢工和炭黑响应 。
中小企业横向检测
瞻博网络为监控 SMB 网络文件共享协议版本 2.1 提供支持。这允许提取客户端之间或客户端与服务器之间的文件传输,类似于瞻博网络 ATP 设备当前监控 HTTP 流量的方式。瞻博网络 ATP 设备支持横向“东西向”SMB 流量监控和检测,除了监控“南北向”入口和出口流量外,还有助于识别恶意软件从受感染端点传播到组织内其他主机的情况。由于 HTTP 很少用于组织内的端点之间的通信,因此 SMB 是企业内恶意软件传播和感染扩散的重要媒介。
支持包括 Windows 7 Windows Server 2008 R2 版本 2.1 和 Windows 7 Windows Server 2008 R2 Samba Server 2.1。这意味着客户端或服务器必须运行 Windows 7 或 Windows Server 2008 R2,而在另一端,客户端或服务器必须运行 Windows 7/Windows Server 2008 R2 或更高版本。在 Linux 平台上,对于 SMB 横向检测,一端运行 Samba Server 版本 2.1,另一端运行 Windows 7/Windows Server 2008 R2。
必须安装高级许可证密钥才能激活 SMB 支持。
若要从中央管理器 Web UI 查看 SMB 检测,请参阅“事件”选项卡“下载摘要表中的查看 SMB 横向检测”。
瞻博网络 ATP 设备还支持 SSH 蜜罐横向检测;有关详细信息,请参阅下一节以及 横向检测增强功能:SSH 蜜罐 。
横向检测增强功能:SSH 蜜罐
“瞻博网络 ATP 设备中央管理器 Web UI 事件”选项卡包含其 SSH 蜜罐功能的结果。部署在客户企业网络中的蜜罐可用于检测试图感染或攻击局域网中其他计算机的恶意软件生成的网络活动。尝试的 SSH 登录蜜罐用于补充横向传播检测。可以在客户流量收集器上部署一个蜜罐,事件信息将从该收集器发送到瞻博网络 ATP 设备核心进行处理。客户可以在他们想要的任何本地网络上放置蜜罐。
瞻博网络 ATP 设备 SSH 蜜罐功能也会检测到试图执行暴力破解 SSH 条目或对“根”帐户执行定向 SSH 访问的恶意行为者。
的事件页面显示
SSH 蜜罐检测的结果显示在中央管理器 Web UI 事件页面上,并包含在生成的报告中。发送到瞻博网络 ATP 设备 GSS 进行蜜罐检测事件的数据包括“威胁目标”和所有尝试的“SSH 会话”(包括用户名和密码)的详细信息以及时间戳。
SSH 蜜罐横向检测配置需要瞻博网络 ATP 设备高级许可证。蜜罐接口始终枚举为 eth3。
有关更多信息,请访问:
有关配置 SSH 蜜罐的更多信息,请参阅瞻博网络 ATP 设备 CLI 命令参考。
请参阅 SSH 蜜罐要求。
有关查看新的横向检测事件和详细信息的信息,请参阅查看 SSH 蜜罐横向传播事件。
有关将 eth3 端口用于所有出站收集器流量的信息,请参阅瞻博网络 ATP 设备流量收集器快速入门指南。
“事件”选项卡“杀伤链、相关性和横向传播”
“事件>详细信息摘要”页面上的交互式杀伤链可直观地查明企业网络中恶意软件的遍历,并将此信息与相关的杀伤链阶段和事件数据页面链接起来。
杀伤链进度类别包括:
漏洞利用 |下载 |处决 |感染 |横向价差 |网络钓鱼 |自定义规则
瞻博网络 ATP 设备的交互式图形化杀伤链包括“事件”选项卡“摘要详细信息”页面上的横向扩散显示。
杀伤链进展图显示 LS(横向传播)、IN(感染)、DL(下载)、XP(漏洞利用)、横向传播 (LS)、网络钓鱼 (PHS) 等的日期发生映射。杀伤链图标可帮助管理员一目了然地快速确定发生了什么事件,以及在杀伤链的哪个阶段。
点击杀伤链进度按钮会打开相应的详细信息页面;例如,单击“感染”按钮将打开“感染详细信息”页面。
此杀伤链事件的检测触发器直接显示在进度图上方。那些以蓝色显示的触发器是在监视和分析期间主动触发的。触发因素包括:声誉 |行为 |销售网络 |静态。
当“终止链进度”显示“横向扩散”活动时(如下例所示),您可以单击“终止链”中的交互式“横向扩散”按钮图标以打开“横向扩散详细信息”页面:
下载和横向传播事件在瞻博网络 ATP 设备 Web UI 事件页面上可能看起来类似。区别特定于主机 IP 是恶意软件源还是目标。如果恶意软件源是针对收件人(即接收恶意软件的瞻博网络 ATP 设备主机)的横向传播事件,则将其视为下载。
无需配置。有关更多信息,请参阅 杀伤链故障 。
通过终结点标识集成,横向扩展图会将终结点主机名显示为节点名称(如果可用);否则,将提供终结点 IP 地址。
杀伤链阶段
瞻博网络 ATP 设备的中央管理器 Web UI 事件页面包含杀伤链进展图,显示事件与 Gartner 杀伤链阶段的一致性。
不同的杀伤链阶段是:
侦察
武器化
交付 [瞻博网络 ATP 设备的发展从这里的杀伤链交付阶段开始。]
开发
安装
命令与控制
对目标采取的行动
瞻博网络 ATP 设备的发展从交付阶段开始。瞻博网络 ATP 设备进度映射到网络杀伤链阶段,如下所示:
每个终止链阶段的瞻博网络 ATP 设备进度映射
送货> |
网络钓鱼、漏洞利用、下载 |
开发和安装> |
执行 |
命令和控制> |
感染, 自定义规则 |
关于具体目标>的行动 |
横向扩展 |
有关详细信息,请参阅 了解威胁和事件 。
YARA规则和横向检测
可以使用 YARA 规则检测远程管理工具 (RAT)。通过添加将 YARA 规则推送到瞻博网络 ATP 设备的功能,瞻博网络 ATP 设备可以检测远程管理工具 (RAT) 在网络中的横向分布。
每个瞻博网络 ATP 设备 YARA 规则都包含以下附加信息:
规则名称
规则说明
严重性(介于 0 和 1 之间)
要应用规则的文件类型
瞻博网络 ATP 设备的分析引擎根据每个 YARA 规则测试新下载内容,机器学习组件使用 YARA 结果来帮助生成最终严重性分数和恶意软件名称。
始终安装YARA规则并针对下载应用。
瞻博网络 ATP 设备 YARA 引擎使用 YARA 版本 3(向后兼容版本 2)。匹配的 YARA 规则的详细信息显示在“事件”页的“下载”选项卡中。
下载横向检测的 Yara 规则匹配
可以从“事件”页面下载所有匹配的 YARA 规则:
启用 SMB 需要高级许可证,但无论 SMB 状态如何,始终安装和使用 YARA 规则。
瞻博网络 ATP 设备 HTTP API
瞻博网络 ATP 设备中央管理器支持 HTTP API,用于访问所有威胁和系统处理数据以及设备和软件配置。中央管理器 Web UI 提供的所有功能也可以通过 HTTP API 访问。
作为所有 API 请求的一部分,JSON 会在来自 API 的所有响应中返回,包括错误。
瞻博网络 ATP 设备智能核心平台专为与现有安全基础架构无缝协作而设计,提供的规则和缓解选项有助于全面了解每个企业环境(包括其实施点)的情境。此集成有助于确定威胁的优先级,并将威胁响应时间(阻止和态势感知缓解规则)从数小时或数天缩短到几分钟。
瞻博网络 ATP 设备的内置 API 通过防火墙、IPS/IDS(用于阻止)或 AV 利用现有实施解决方案,将缓解规则推送到现有基础架构。使用 IVP 和炭黑响应的感染验证使瞻博网络 ATP 设备平台成为基础架构网格的更深层部分,而不仅仅是另一个安全补丁点解决方案。
STIX API 集成
结构化威胁信息表达 (STIX™) 是一种用于鉴定网络威胁数据和情报以便进行交换、存储和分析的语言。瞻博网络 ATP 设备包含一个 API,允许用户查询瞻博网络 ATP 设备以获取标准 STIX 格式的入侵指标 (IOC)。
有关详细信息和使用信息,请参阅瞻博网络 ATP 设备 HTTP API 指南。
瞻博网络 ATP 设备全球安全服务 (GSS)
瞻博网络 ATP 设备全球安全服务 (GSS) 为瞻博网络 ATP 设备及其客户提供云服务。瞻博网络 ATP 设备的全球安全服务是一项基于云的订阅服务,与瞻博网络 ATP 设备高级威胁防御平台配合使用,可提供增强的威胁检测和迁移。瞻博网络 ATP 设备全球安全服务不断更新瞻博网络 ATP 设备高级持续性威胁平台的多方法检测引擎的各个方面,提供新的威胁情报、机器学习模型和静态分析签名。
安全总局提供:
系统监控和报告服务
自动软件和安全内容更新和刷新
自动生成报告和警报
核心每天午夜检查核心映像升级。还会每 30 分钟检查一次新软件和内容更新(如果已启用)。要启用 GSS 更新,请参阅 配置 GSS 设置。
对以下对象执行自动更新:
机器学习模型更新
持续的威胁情报
静态分析更新
机器学习模型更新
瞻博网络 ATP 设备使用机器学习分析来分析恶意软件行为并提供分析评估。瞻博网络 ATP 设备实验室团队使用数百万个新的恶意和非恶意代码样本不断训练机器学习引擎。这使得瞻博网络 ATP 设备能够提高检测效率,同时学习已知良好对象的关键特征,从而使瞻博网络 ATP 设备能够标记不符合规范的对象行为。作为 GSS 的一部分,这些更新将提供给客户的瞻博网络 ATP 设备部署。
静态分析特征码更新
瞻博网络 ATP 设备不断为其客户群中新发现的恶意软件添加新签名。这些签名由GSS更新。
威胁情报更新
瞻博网络 ATP 设备实验室团队创建并汇总来自各种来源的威胁情报,包括我们的爬虫网络以及公共和私人情报源。更新的威胁情报对于深入了解检测到的威胁至关重要。GSS不断为客户提供最新的威胁情报。
瞻博网络提供安全内容版本的自动刷新。
通用视图
瞻博网络 ATP 设备软件/安全内容更新以及运行状况和监控功能已整合到 GSS 中。未来的GSS云服务将包括分布式引爆和分析处理以及远程调试。
单向与双向 GSS 服务选项
为了分享由全球本地分析引擎收集的实时恶意软件情报的优势,瞻博网络 ATP 设备构建了一个全球网络来分发自动生成的有关全球高级恶意软件的安全情报报告,包括任何隐蔽的回调渠道。当瞻博网络 ATP 设备分析恶意对象的代码和流量时,它会为所有已确认的恶意软件创建动态指纹。这些恶意软件指纹与订阅者实时共享。
当各个瞻博网络 ATP 设备流量设备连接并共享其本地生成的恶意软件情报时,可以实现本地恶意软件情报的实时共享,从而确保整个瞻博网络 ATP 设备部署能够抵御旨在渗透企业网络的目标威胁。当 GSS 收集和分发威胁信息时,会将其作为安全内容更新进行共享:
安全内容中包含的所有威胁数据仅特定于恶意软件和恶意活动。
不会在安全内容共享和自动刷新过程中传输特定于客户的数据。
数据通过加密协议 (HTTPS) 传输。
瞻博网络 ATP 设备 GSS 提供以下两种可选方式:
Juniper ATP Appliance GSS two-way option
通过此选项,客户可以获得瞻博网络 ATP 设备 GSS 的所有优势,并通过自动向 GSS 提供有关其环境中发现的新威胁的元数据来回馈服务。元数据中包含的所有威胁数据仅特定于恶意软件和恶意活动。不会在安全内容更新过程中传输特定于客户的数据。
Juniper ATP Appliance GSS one-way option
此选项允许客户从 GSS 更新中受益,而无需将恶意软件信息反馈给服务。
双向共享的好处:
利用瞻博网络 ATP 设备实验室的威胁情报,在威胁生命周期的早期识别和阻止威胁
保持机器学习模型更新,以识别尚未发现的威胁
改进威胁分类和优先级
加速威胁遏制和补救
瞻博网络 ATP 设备仪表板威胁视图
瞻博网络 ATP 设备中央管理器 Web UI 仪表板在“操作仪表板”页面上包含一个“威胁视图”面板,如下所示。威胁视图旨在帮助用户确定企业网络中最重要的攻击的优先级并重点关注这些攻击。威胁视图气泡作为气泡视图或气泡图实现,以图形方式表示管理员最需要注意的威胁。
每个气泡代表瞻博网络 ATP 设备的检测和分析引擎观察到其可疑活动的单个主机。每个气泡在 Y 轴上显示得越高,潜在威胁就越严重;显示屏中的气泡越大,观察到的相关性或单个威胁就越多,并且正在为该主机发挥作用。颜色是威胁严重程度的另一个指标,深橙色代表最大的威胁。
可用仪表板:
操作
研究
系统
收藏家
事件时间轴
操作仪表板
威胁视图可过滤掉网络上的干扰,并显示在图表上方下拉菜单中选择的时间段内对您的企业最重要的威胁。
威胁值颜色翻译为:
严重、高(红色)、中(橙色)、低(黄色)
这种威胁着色方案在整个瞻博网络 ATP 设备中央管理器 Web UI 中保持一致。
仪表板的“受感染主机”区域显示整个分布式系统检测到的所有特定于主机的事件的气泡图;气泡的大小代表瞻博网络 ATP 设备对当前最严重或不太严重的感染的判断。
受感染的主机 通过仪表板及其威胁指标的布局,您可以向下钻取到最关键的威胁以进行缓解或验证自动缓解(如果已配置)。
单击重置图表按钮以返回到原始所有威胁视图。
要显示气泡的主机详细信息,请单击气泡。详细信息会立即显示在气泡图威胁视图的右侧。
双击威胁视图中的气泡时,它将打开中央管理器 Web UI 的“事件”选项卡,以提供与所选主机关联的事件的摘要和详细信息。换句话说,整个仪表板 UI 遵循导航焦点,同时详细说明威胁上下文和相关性。
有关更多使用信息,请参阅使用仪表板视图。
研究仪表板
“研究仪表板”是“仪表板”选项卡中提供的另一个特定于上下文的分析工具。
“热门恶意软件”图表中的最长线条表示通常代表对企业的最大威胁。当您单击“热门恶意软件威胁视图”图表中的该(或任何)单行计数时,右侧的威胁进度数组将显示与该所选恶意软件威胁关联的主机。
在威胁进度视图中拖动威胁名称以调整和扇出阵列显示。
单击阵列中的主机 IP 地址,以在阵列正下方显示主机详细信息。选中后,主机圆形项目符号在数组中变为橙色。
选择移动和重新定位或放大/缩小整个阵列以查看所有显示的 IP 地址。
回顾一下:当您单击“热门恶意软件”图形列表中的恶意软件名称时,威胁进度视图会进行调整以显示该特定恶意软件针对的所有主机。
双击“热门恶意软件”列表中的“热门恶意软件”行时,它会打开中央管理器 Web UI 的“事件”选项卡,以提供与该恶意软件关联的事件的摘要和详细信息。换句话说,整个仪表板 UI 遵循导航焦点,同时详细说明威胁上下文和相关性。
有关更多使用信息,请参阅使用仪表板视图。
研究和运营仪表板集成了南北向(入口-出口)HTTP 流量检测事件和事件集,以及横向东西向事件和事件(通过 SMB 监控在企业内检测)。瞻博网络 ATP 设备中央管理器 Web UI 仪表板可帮助管理员识别受感染的端点,并在整个企业网络中从主机到主机跟踪恶意对象的媒介。此外,东西向横向传播的恶意软件事件与相关的基于 Web 的事件(下载、感染、网络钓鱼和漏洞利用)密切相关。
访问运营和研究仪表板无需配置,但映射 SMB 横向监控数据需要高级许可证密钥。有关使用重新设计的仪表板的更多信息,请参阅使用仪表板视图。有关 SMB 横向检测事件的信息,请参阅本指南的“事件”选项卡查看 SMB 横向检测。
系统仪表板
系统仪表板也可从“仪表板”选项卡中获得:
系统仪表板包括以下指标:
流量 (Mbps)
总流量是指在网络上看到的流量。
分析的协议流量是指用于分析的所有流量。
注意:在以前的版本中,流量分为“提供”和“已检查”。“提供”对应于当前的“总流量”指标。但是,检查与分析的协议流量不同。分析的流量包括所有 HTTP 流量,包括不形成对象的字节。因此,与过去相比,该指标可能会有预期的增长。
核心利用率(Windows 和 Mac OSX)
处理的对象
平均分析时间(以分钟为单位)(Windows 和 Mac OSX)
恶意软件对象
可以显示以下各项的系统图表:
过去 24 小时 |上周 |上个月 |最近 3 个月 |去年
有关更多使用信息,请参阅使用仪表板视图。
流量收集器仪表板
收集器仪表板是仪表板选项卡中提供的另一个仪表板集:
选择“Web 或电子邮件收集器”视图以显示图形趋势和详细信息。
最多可以选择 5 个 Web 或电子邮件收集器,以便同时进行比较图形趋势绘图。
收集器仪表板包括以下趋势显示的指标(选项可从趋势下拉菜单中选择):
当前总流量 (Mbps)
CPU 使用率
内存使用情况
分析的链接
分析的对象
威胁
详细信息中还提供了“收集器服务”部分;向下滚动“收集器仪表板”页面以查看服务。本节包含有关关闭或影响收集器运行状况的服务的数据。如果所有服务都按预期启动并运行,则打印“OK”行:
可以显示过去24小时的图形数据图表|上周 |上个月
摘要列 |
描述 |
|---|---|
情节 |
单击以在上图中显示[多个]图进行比较;为每个选定的图形绘图线显示颜色 |
收集器名称 |
已安装的流量收集器的名称 |
IP 地址 |
收集器的 IP 地址 |
记忆 |
内存使用情况统计信息 |
Cpu |
CPU 使用率统计信息 |
磁盘 |
磁盘使用情况 |
当前总流量 |
以 Kbps 或 Mbps 为单位扫描的总流量 - 任何时刻从各种收集器在线路上看到的所有流量(非累积) |
分析的对象 |
分析的对象 - 累计 |
分析的链接 |
网址提取和分析 |
威胁 |
检测到的恶意软件对象涉及所有类型的威胁 - 漏洞利用、恶意软件下载、感染 - 累积 |
上次出现时间 |
检测并分析了上一次恶意软件事件 |
地位 |
收集器上的上次状态检查(例如:“83 秒前”) |
启用 |
绿色复选标记表示收集器当前已启用;红色 X 表示收集器已禁用或脱机。 |
有关瞻博网络 ATP 设备仪表板和使用选项的更多信息,请参阅 与仪表板视图和组件交互 以及 导航 CM Web UI 。
事件时间轴仪表板
事件时间轴仪表板是“仪表板”选项卡中提供的产品仪表板视图的最新成员:
事件收集器显示每个集成供应商以及瞻博网络 ATP 设备检测和操作的时间轴上为保护给定端点或主机而采取的每个事件和操作。您可以展开时间线视图,查看最终用户如何以及何时实施恶意下载。
事件时间轴仪表板包括以下供应商的事件指标(对于主机名 |端点 IP |用户名 |或您从下拉菜单中选择的 EMAIL 选项,在相应的字段中指定,然后单击 GO 以处理沿时间线视图显示的事件):
Bluecoat Secure Web 网关
炭黑响应
PAN 新一代防火墙
赛门铁克 EP
迈克菲 ePO
电子邮件检测增强功能
瞻博网络 ATP 设备-MTA-接收器和瞻博网络 ATP 设备-MTA-云
瞻博网络 ATP 设备针对电子邮件携带的恶意软件检测和缓解提供了多项重大增强功能。此版本支持瞻博网络 ATP 设备云电子邮件部署和本地瞻博网络 ATP 设备 - MTA 收件人电子邮件部署方案。
所有电子邮件检测配置都需要瞻博网络 ATP 设备高级许可证。
On-Premise Juniper ATP Appliance-MTA-Receiver Deployments
瞻博网络 ATP 设备 MTA Receiver 部署支持从不同服务器(包括 Office 365、Gmail 和 MS Exchange)接收电子邮件。它还支持任何其他电子邮件服务器/反垃圾邮件网关,这些服务器/反垃圾邮件网关支持添加其他 SMTP 接收器以将电子邮件发送到瞻博网络 ATP 设备 MTA 接收器(无需添加任何 SMTP 信封标头以使原始电子邮件成为附件)。
管理员必须配置支持的服务器,以便使用 MTA 接收器上的电子邮件地址设置(例如:CustomerX@MTA-IP 或 CustomerX@DomainName)将电子邮件流定向到瞻博网络 ATP 设备 MTA 接收器。使用域名时,MX 记录应可由服务器解析)。在所有情况下,瞻博网络 ATP 设备的本地 MTA 接收器都会提取对象/URL 链接,并将其提交到瞻博网络 ATP 设备核心进行分析。
再次:此版本支持1)用于云电子邮件的本地MTA,以及2)用于Microsoft Exchange的本地MTA等。对于本地电子邮件部署,支持的邮件解决方案包括:
Office 365
Gmail
质谱交换
使用 SMTP 提供日记输出的任何邮件解决方案
管理员必须配置其电子邮件解决方案,以将日记流定向到部署在客户站点本地的瞻博网络 ATP 设备 MTA 收集器(例如:CustomerX@Collector-IP 或 CustomerX@Collector-hostname)。瞻博网络 ATP 设备的本地 MTA 收集器从收到的电子邮件中提取对象/URL 链接进行分析,并将电子邮件流重定向到瞻博网络 ATP 设备核心进行处理。
电子邮件威胁缓解:Gmail 和 Office 365 隔离选项
借助瞻博网络 ATP 设备,您可以使用 Office 365 API 或 Gmail API 隔离被检测为恶意的电子邮件,
请注意,瞻博网络 ATP 设备电子邮件云上的所有内容都是加密的;电子邮件隔离选项要求使用用户提供的缓解密钥对保存在磁盘上的电子邮件附件进行加密。瞻博网络 ATP 设备中央管理器包含一个表单,供用户输入所需的缓解加密密钥。
高级电子邮件检测配置需要瞻博网络 ATP 设备高级许可证。
有关更多信息,请参阅:
配置电子邮件缓解 设置 有关设置 Gmail JSON 密钥文件和生成新的 Azure 密钥凭据的信息。
电子邮件 URL 信誉检测
此外,通过将恶意 URL 发送到瞻博网络 ATP 设备信誉服务器进行分析,还可以支持威胁检测和缓解。当电子邮件中有 URL 链接时,瞻博网络 ATP 设备会将其提交到信誉服务器并执行信誉查找。通过这种方式,瞻博网络 ATP 设备可以主动将 URL 识别为恶意或威胁,而无需等待实际下载和漏洞利用发生。在“瞻博网络 ATP 设备中央管理器 Web UI 事件”页面上,可疑或恶意 URL 由标签“瞻博网络 ATP 设备 ATA 检测到恶意 URL”表示。
URL 信誉结果分类如下:
Malware:已知该 URL 托管恶意负载。
Benign:已知 URL 是干净的或 URL 未知的。
无需配置。有关详细信息,请参阅主动电子邮件 URL 信誉检查。
威胁指标优先级映射
由于“恶意软件严重性”本身并不总是能揭示深层上下文和可操作的威胁相关性,因此 ATP 设备提供了“威胁指标”,将威胁严重性与其他相关性因素相结合,以帮助确定威胁是否构成特定于给定企业环境的风险的优先级和确定威胁的优先级。这些因素包括:
Asset Value— 一种可定制的值,允许管理员根据 IP 地址范围确定其企业中资产价值的优先级,以便可以立即识别和修复在高资产网段中检测到的恶意软件。
OS Relevance — 一种威胁指标,基于对威胁是否包含危害目标端点操作系统的可能性的了解。例如,仪表板威胁视图中可能会报告严重性较低的重大威胁,因为它是下载到 Mac OSX 主机的 Windows 病毒 — 操作系统不匹配将导致严重等级调整。
Virus Scanner Relevance — 确定配置的病毒扫描程序在下载时是否识别出已识别的威胁。
Execution Relevance — 双向炭黑响应集成有助于识别恶意对象是否在目标端点上实际执行。
Progression — 显示已识别杀伤链触发因素的威胁指标:XP+UP+DL+EX+IN
New Severity Range— 在以前的版本中,严重性范围是介于 1-4 之间的正整数值。范围是介于 0 和 1 之间的值(包括小数)。
所有因素都用于确定最终威胁指标。威胁值在瞻博网络 ATP 设备中央管理器 Web UI 中转换为“严重”、“高(红色)、中(橙色)、低(黄色)和干净(绿色)。
事件与事件上下文详细信息和报告
瞻博网络 ATP 设备在其技术开发过程的早期就从基于“事件”的模型过渡到“事件”模型,这意味着为了更紧密地表示攻击过程,瞻博网络 ATP 设备现在将多个相关事件合并为一个事件。
瞻博网络 ATP 设备将“事件”定义为共享同一端点的一组事件。换句话说,事件包含瞻博网络 ATP 设备威胁检测系统已确定可能是同一攻击一部分的事件。目前,将事件分组到事件中主要是一种时间度量;这些事件发生在 5 分钟的时间跨度内在同一终结点上或从同一终结点发生。
以前,瞻博网络 ATP 设备将每次下载表示为单独的威胁行项目,但在此版本及以后,瞻博网络 ATP 设备现在将相关项目集成到单个事件中,以真实地表示相关事件。此更改在查看某些可能产生大量下载、CnC 活动或事件的攻击时提供了更大的上下文。
的事件选项卡摘要视图
误报 |“事件”选项卡上的误报报告
瞻博网络 ATP 设备中央管理器 Web UI 报告误报 (FP) 和误报 (FN) 检测可从“事件”选项卡中获得。此功能有助于客户从产品 Web UI 报告 FP 和 FN,并自动附加瞻博网络 ATP 设备技术支持团队分析所需的事件的所有相关详细信息。
“事件”页提供了“报告误报”选项。对于良性事件,报告链接选项将显示“报告漏报”。
无需配置。有关详细信息,请参阅报告误报或漏报事件。
利用现有安全基础架构实现自动缓解
利用企业现有的安全基础架构,将威胁情报实时转化为防御。借助自动缓解,管理员可以配置以下集成的自动缓解作为其恶意软件分析响应的一部分:
Palo Alto PAN 防火墙集成 — 确定包含恶意对象的主机的 IP 地址可以传送到 Palo Alto Networks 设备,在那里可以阻止 IP。还可以根据 Palo Alto Networks 防火墙的 URL 进行阻止。基于 URL 的屏蔽可实现更精确的屏蔽控制。
瞻博网络 SRX 防火墙集成 — 确定被感染的主机的 IP 地址可以传送到瞻博网络 SRX 设备,在该设备中可以阻止 IP。
思科ASA防火墙集成 — 除了瞻博网络ATP设备成熟的防火墙集成支持外,还提供思科ASA防火墙支持。现在,使用 ASA 防火墙的企业能够将 IP 地址推送到 Cisco ASA 防火墙平台,以阻止恶意软件。瞻博网络 ATP 设备使用 REST 接口与 ASA 防火墙通信。
Fortinet 防火墙集成 — 还支持 Fortinet 防火墙和管理平台。此集成包括使用 Fortinet 的管理 API 提交阻止信息,包括适当的 IP 地址和 URL。
Crowdstrike 集成 — 瞻博网络 ATP 设备的“CrowdStrike 端点集成”是对瞻博网络 ATP Appliance 已建立的 Carbon Black Response 集成的补充,用于端点威胁检测和缓解。
检查点防火墙集成 — 检查点防火墙集成也可用。每当瞻博网络 ATP 设备管理员选择缓解特定威胁或删除先前传播的缓解措施时,瞻博网络 ATP 设备都会与配置的 Check Point 设备通信。通信通过 SSH 接口进行,Check Point 用户也可以通过该接口访问 Check Point 设备的 CLI。
阻止信息是使用检查点 API 提交的。此版本支持将恶意 IP 地址推送到集成的 Check Point 设备。与瞻博网络 ATP 设备已建立的 PAN 和瞻博网络集成支持类似,管理员可以识别防火墙或安全 Web 网关中的威胁,并从中央管理器 Web UI 将所选对象提交到配置的检查点防火墙。
Check Point 防火墙集成需要 Check Point GAiA 操作系统版本 R76、R77 或更高版本。不支持 GAiA 的前身 Check Point IPSO 和安全平台 (SPLAT)。
BlueCoat ProxySG 集成 — 与威胁相关的恶意 URL 可以发送到 BlueCoat 的 ProxySG 设备,以便用户可以采取所需的操作(包括阻止)。
阻止不需要是自动缓解操作的一部分。
集成要求
电子邮件收集器需要 Microsoft Exchange 2010+
适用于瞻博网络防火墙的 Junos 版本 12.1-X47.x
帕洛阿尔托防火墙版本 x 适用于帕洛阿尔托
PAN 防火墙集成
配置 PAN 集成以实现自动缓解的过程分为两步;
首先,在供应商设备上配置瞻博网络 ATP 设备识别。
接下来,从“瞻博网络 ATP 设备中央管理器 (CM) Web UI 配置”选项卡配置自动缓解。
请参阅本指南的 配置防火墙自动缓解 中的完整过程信息。
帕洛阿尔托网络防火墙集成的 URL 阻止支持
与 Palo Alto Networks (PAN) 防火墙集成使用 IP 地址进行恶意软件阻止,并根据 Palo Alto Networks 防火墙的 URL 提供阻止。还支持基于 URL 的阻止,并允许更精确的阻止控制。此外,通过瞻博网络 ATP 设备和 Palo Alto Network 的 PANORAMA 集成,还支持集中式 PAN FW 缓解管理。
有关配置信息,请参阅:
PAN防火墙设备的集中式全景集成
瞻博网络 ATP 设备平台可监控和检测恶意 IP 地址以及链接到恶意软件的 URL。在之前的版本中,瞻博网络 ATP 设备与 Palo Alto Networks (PAN) 防火墙的集成允许瞻博网络 ATP 设备通过将恶意 URL 和 URL 推送到各个 PAN FW 设备来阻止这些 URL 和 IP。但是,由于一些企业使用部署在不同位置的一系列 PAN 防火墙,因此将每个 PAN FW 与瞻博网络 ATP 设备集成可能会变得很麻烦。因此,瞻博网络 ATP 设备提供与 Palo Alto Network 的 Panorama 的集成,Panorama 是一种网络安全管理设备,可从中央位置控制 PAN 防火墙的分布式网络。瞻博网络 ATP 设备提供了灵活性,既可以像往常一样配置与单个 PAN-OS FW 的集成,也可以配置与集中式全景设备的集成,作为瞻博网络 ATP 设备的防火墙和安全网关自动缓解选项的一部分。
SRX 系列防火墙集成
配置瞻博网络 SRX 防火墙集成以实现自动缓解的过程分为两个步骤;
首先,配置瞻博网络 SRX 防火墙:创建一个地址集,以包含将由瞻博网络 ATP 设备中央管理器 (CM) 推送的所有缓解 IP 地址。然后通过 NETCONF 协议启用远程配置。此外,请收集瞻博网络 ATP 设备 CM 将用于配置 SRX 的相应用户凭据。从 SRX CLI 配置安全策略地址簿和地址集。
本指南的配置部分以及瞻博网络 Junos SRX 文档中讨论了地址集和区域定义或区域连接策略。
接下来,从瞻博网络 ATP 设备中央管理器 (CM) Web UI 配置>环境设置>防火墙缓解设置选项卡配置自动缓解。
思科 ASA 防火墙集成
借助集成的思科 ASA 防火墙支持,部署了 ASA 防火墙的企业能够将 IP 地址从瞻博网络 ATP 设备产品推送到思科 ASA 防火墙平台,以阻止恶意软件。瞻博网络 ATP 设备使用 REST 接口与 ASA 防火墙通信。
请参阅 配置思科 ASA 防火墙。
检查点防火墙
配置的检查点防火墙集成允许瞻博网络 ATP 设备产品与检查点防火墙协同通信和执行威胁缓解。瞻博网络 ATP 设备管理员可以选择通过检查点防火墙集成阻止特定威胁或删除先前传播的缓解措施。
通信通过 SSH 接口进行,Check Point 用户也可以通过该接口访问 Check Point 设备的 CLI。
阻止信息是使用检查点 API 提交的。通过将恶意 IP 地址推送到集成的 Check Point 设备(类似于瞻博网络 ATP 设备已建立的 PAN 和瞻博网络集成支持),管理员可以识别防火墙或安全 Web 网关上的威胁,并从中央管理器 Web UI 将所选对象提交到配置的检查点防火墙。
瞻博网络 ATP 设备防火墙阻止对应于检查点 CLI SAM 命令,如下所示:
fw sam -J any <blocked_address> # Drop and close fw sam -C -i any <blocked_address> fw sam -C -j any <blocked_address> fw sam -s <sam_server> -S <SIC_name> -f <fw_host> -[ i | j | I |J] any <blocked_address> fw_host can be All, localhost, Gateways, or a group or object name fw sam -s <sam_server> -S <SIC_name> -f <fw_host> -C -i any <blocked_address> fw sam -s <sam_server> -S <SIC_name> -f <fw_host> -C -j any <blocked_address>
检查点“FW SAM CLI 参考”指南可在线获取。
配置 Check Point 服务器后,从中央管理器配置>环境设置>防火墙缓解设置页面设置与瞻博网络 ATP 设备产品的集成:
请参阅 配置检查点防火墙。
蓝衣代理SG集成
对于 BlueCoat ProxySG 集成,瞻博网络 ATP 设备会发布一个“网页”,其中包含 BlueCoat 设备定向到的 URL 列表。ProxySG 会定期轮询恶意 URL 列表以收集阻止详细信息。
BlueCoat 可以配置为根据需要将各种规则应用于瞻博网络 ATP 设备列表,包括阻止。
通过炭黑响应缓解终点
瞻博网络 ATP 设备通过炭黑响应合作伙伴服务,在其威胁分析和引爆服务与企业端点之间提供全面的闭环集成。
瞻博网络 ATP 设备和 Carbon Black Response 集成将瞻博网络 ATP 设备基于网络的威胁防御与 Carbon Black Response 的新一代端点和服务器安全服务相结合,提供双向可见性和缓解支持。
当瞻博网络 ATP 设备检测到网络上的恶意软件时,Carbon Black Response 正在评估检测到的恶意软件落在何处、是否执行,以及企业中有多少台主机受到影响。这种实时可见性使安全分析师能够过滤掉不可操作的事件,更快地确定高影响警报的优先级,并缩短对潜在入侵的响应时间。
瞻博网络 ATP 设备确认威胁的位置、范围和严重性,同时查询炭黑响应以确定恶意文件是否在端点执行。通过这种方式,瞻博网络 ATP 设备平台可以高效地准确确定攻击在杀伤链中的位置,以及下载是否发展为感染,从而加快目标企业补救。
此外,如果移动用户在其组织边界之外下载潜在的恶意软件对象,则在端点上运行的Carbon Black Response软件可以使用其阻止列表来允许或拒绝打开文件。但是,如果发生零日威胁,则阻止列表条目不存在。在这种情况下,Carbon Black Response 解决方案可以将文件提交到瞻博网络 ATP 设备核心,并在允许执行文件之前获得判断,从而保护移动用户。
此外,当新文件到达您的端点和服务器时,Carbon Black Response 可以按需或自动提交这些文件,以供瞻博网络 ATP 设备进行分析。如果瞻博网络 ATP 设备确定该文件是恶意的,Carbon Black Response 将阻止其执行,并可阻止在企业的整个用户群中执行此文件。因此,下载相同恶意软件对象的其他用户将自动受到保护,免受恶意软件感染。
瞻博网络 ATP 设备与 Carbon Black Response 集成可提供显著的威胁防御优势:
持续、实时地了解每台计算机上发生的情况
实时威胁检测,无需依赖签名
通过查看任何攻击的完整“杀伤链”即时响应
主动和可定制的预防
有关更多信息,请参阅 配置端点集成:人群打击和炭黑响应 ,以及瞻博网络 ATP 设备/炭黑响应集成指南。
CEF、QRadar LEEF 对 SIEM 的日志记录支持
瞻博网络 ATP 设备检测到的恶意事件会生成事件和警报详细信息,并以 CEF 和 QRadar LEEF 格式发送到连接的 SIEM 平台。
瞻博网络 ATP 设备中央管理器 WebUI 配置>系统设置>SIEM 设置提供了为基于 rSYSLOG、LEEF 或 CEF 的 SIEM 服务器配置事件、事件和警报通知的选项。反过来,服务器必须配置为接收 CEF 或 LEEF 格式的瞻博网络 ATP 设备通知。
需要在 QRadar 服务器上安装 DSM-Juniper ATP 设备扩展插件。
标识信息作为 SIEM 的一部分发送,并为下载 + 网络钓鱼 (DL + PHS)、下载 (DL) 和网络钓鱼 (PHS) 的电子邮件检测发送 SIEM 事件。
有关配置信息,请参阅 配置 SIEM 设置。以及瞻博网络 ATP 设备CEF、LEEF 和 SIEM 的系统日志支持用户指南。另请参阅文档 Juniper ATP Appliance CEF、LEEF & Syslog Support for SIEM。
虚拟收集器和 vCore [OVA] 部署
瞻博网络 ATP 设备 Core-CM 和流量收集器产品可以使用 VMWare vSphere(最初)通过厚或精简置备部署为虚拟机虚拟核心 (vCore) 和/或虚拟收集器 (vCollector)。此功能扩展了瞻博网络 ATP 设备的产品覆盖范围,允许在虚拟化环境中部署。
虚拟部署以 .用于简单部署的 OVA,或 .ISO 用于自定义部署,vCore 用于 Amazon EC2 AWS(Amazon Web Services)。
vCenter 不再是虚拟收集器部署的必要条件。虽然瞻博网络仍然为使用 vCenter 的客户提供 .ova,但除此之外,瞻博网络还会为每个构建生成一个 .ovf 和一个 .vmdk 文件。.ovf 和 .vmdk 捆绑到一个 .tar 文件中,您可以下载并扩展该文件。
对于不想使用 vCenter 进行虚拟收集器部署的客户:下载 .tar 文件并将 OVF 和 VMDK 展开到同一目录中。然后,在 vSphere 客户端中,单击文件 -> 部署 OVF 模板。选择 .ovf 文件,然后完成 ovf 向导的部署。配置向导会提示输入收集器/核心属性,例如 IP 地址、主机名、设备密钥。登录到 CLI 并配置每个设置。
OVA vCore 部署包含完整的部署包(包括引爆引擎)。
客户单独部署虚拟核心和虚拟收集器。
虚拟核心性能可与同等装备的物理设备(通常相同的 CPU、内存等)相媲美。但与物理设备不同的是,由于 Microsoft 许可限制,瞻博网络 ATP 设备无法为虚拟内核提供 MS Windows 许可证。客户必须为 vCore 提供 Windows 许可证。
有关安装和配置说明,请参阅:
瞻博网络 ATP 设备核心-CM 快速入门指南
瞻博网络 ATP 设备流量收集器快速入门指南
集群核心部署
群集核心功能允许多个核心检测引擎协同运行以支持更大的网络,并使瞻博网络 ATP 设备核心的规模有了显著提升。群集通过允许多个内核同时执行恶意软件分析来提高可扩展性。瞻博网络 ATP 设备支持基于 Windows 的辅助内核(除了先前和当前版本中已有的 Mac-Mini 辅助内核)。
如果部署了多个内核,则只需要一个许可证。该许可证只需部署在主核心上。
群集允许将多个设备配置为分析核心,以增加分析工作负载;此过程适用于物理和虚拟设备。事实上,虚拟设备可以克隆并重新启动,以立即提高容量。
中央管理器 Web UI 仪表板指示群集何时需要更多核心。
群集的安装过程与为非群集设备设置的安装过程相同。
第一个核心安装(可能是当前部署的现有设备)会自动注册为主核心,并在进行另一个辅助核心安装时驱动中央管理器。
第二个(或附加)辅助核心或 Mac OSX 辅助核心在安装后会自动成为(其他)辅助核心。
有关安装和配置说明,请参阅瞻博网络 ATP 设备核心-CM 快速入门指南。请参阅 核心/中央管理器快速入门指南
占用空间小的虚拟流量收集器
瞻博网络 ATP 设备为虚拟部署提供占用空间较小的流量收集器。标准虚拟收集器 OVA 部署需要 512GB 硬盘驱动器空间外加 4 个最小内核和 16 GB RAM。低资源收集器提供了一个虚拟机收集器实例,只需要 16 GB HDD、1 核和 4 GB RAM,支持 25Mpbs 的流量。
客户需要配置。有关详细信息,请参阅瞻博网络 ATP 设备流量收集器快速入门指南。另 请参阅配置思科 ASA 防火墙
这款小巧、价格实惠的便携式流量收集器是瞻博网络 ATP 设备合作伙伴以及小型企业远程办公室和分支机构的理想选择。小型收集器还适用于带宽要求相对较小的小型企业,如零售商和咨询企业和/或金融服务组织(~ 150 Mbps 流量数据收集)。
客户需要在Mac Mini上配置收集器;将小型收集器配置为指向托管在公共域 (AWS) 或私有托管安全服务提供商 [MSSP] 数据中心云中的瞻博网络 ATP 设备核心。核心可以是 AWS 核心(从瞻博网络 ATP 设备 AMI 启动),也可以是虚拟核心(例如,在 VMWare vSphere 平台上运行)。
小型 Mac Mini Collector ISO 安装需要 DVI 显示器电缆。
有关详细信息,请参阅瞻博网络 ATP 设备流量收集器快速入门指南。管理
管理流量代理支持
许多客户仍然依靠代理和网关为其端点提供基本的安全性。在此类环境中,CM/Core 必须能够像非代理环境一样运行外部服务并与之通信。该通信包括GSS的上传和下载,以及软件,安全内容和签名更新,以及所有其他必要的通信。部署在 HTTP 和/或 HTTPS 代理环境中的瞻博网络 ATP 设备核心可以配置为运行并与瞻博网络 ATP 设备 GSS 和其他互联网服务通信。
有关更多信息,请参阅为 Web UI 配置配置 管理网络的代理设置 ,以及服务器模式下基于 CLI 的配置的瞻博网络 ATP 设备 CLI 命令参考。
跨度流量代理数据路径支持
瞻博网络 ATP 设备现在支持在以下位置部署流量收集器 (1) 对于代理支持 XFF (X-Forwarded-For) 的客户环境,监控接口位于代理和出口网络之间,或者 (2) [更典型的部署方案],收集器使用 FQDN(如果可用)放置在代理和内部网络之间,以识别所有类型的事件的威胁来源。
现在,瞻博网络 ATP 设备流量收集器可以监控所有流量,并在数据允许的情况下正确识别终止链中每个链路的源主机和目标主机。请注意,如果在 HTTP 请求中提供了“X-Forwarded-For”标头,则检测将在代理外部部署时识别威胁目标(如果需要,客户可以选择在代理设置中禁用 XFF 功能)。
在内部设置代理
当 Web 代理位于互联网和瞻博网络 ATP 设备流量收集器监控接口之间时,请使用 CLI 命令 collect>set 代理添加/删除代理 IP 地址。下图说明了此部署方案:
的“内部”
以下示例设置内部数据路径代理:
Juniper ATP Appliance (collector)# set proxy inside add 10.1.1.1 8080
在外部设置代理
或者,当代理位于内部网络和瞻博网络 ATP 设备流量收集器监控接口之间时,使用 CLI 命令 collector>set 外部 代理添加/删除代理 IP 地址。下图说明了此部署方案:
的“外部”
以下示例设置外部数据路径代理:
Juniper ATP Appliance (collector)# set proxy outside add 10.2.1.1
单点登录 SAML 身份验证
SAML(安全断言标记语言)标准化了接收、传输和共享安全断言信息所涉及的功能。瞻博网络 ATP 设备支持 Web 浏览器单点登录 (SSO) 操作的 SAML 身份验证。有关 SAML 的更多信息,请参见 https://en.wikipedia.org/wiki/ SAML_2.0。
YARA规则支持
瞻博网络 ATP 设备支持使用 YARA 规则进行恶意软件分析。使用开源静态分析工具YARA,安全分析师可以定义字节级规则,用于快速分析大量对象和流量文件的相关匹配项。如果识别出字节模式匹配,则分析师可以将该字节模式指定为 YARA 规则,并上传到瞻博网络 ATP 设备中央管理器,用于在瞻博网络 ATP 设备恶意软件引爆和分析周期内检测相关恶意文件。
您可以选择根据从已识别家族样本中获得的文本或二进制模式将 YARA 规则定义为恶意软件家族。规则说明由一组字符串和一个建立规则逻辑的布尔表达式组成。此外,YARA集成结果显示对象是否可以归类为恶意对象。YARA 规则还用于对恶意软件样本进行分类。
YARA 规则文件是从瞻博网络 ATP 设备中央管理器 Web UI 配置>环境设置>YARA 规则上传页面上传和启用的,该页面接受并集成了各种可用的 YARA 文件格式。有关配置信息,请参阅 配置 YARA 规则。
用于检测客户网络中横向传播的 YARA 规则
远程管理工具 (RAT) 允许远程控制企业系统,就像已建立物理访问一样。尽管 RAT 肯定有合法应用,但该软件通常通过目标不知情的情况下安装的软件与犯罪或恶意活动相关联。可以使用 YARA 规则检测远程管理工具。瞻博网络 ATP 设备能够将 YARA 规则推送到瞻博网络 ATP 设备,以检测 RAT 在客户网络内的横向分布。这些横向分布规则打包在瞻博网络 ATP 设备产品中。匹配的 YARA 规则的详细信息显示在瞻博网络 ATP 设备中央管理器 Web UI 的“事件”选项卡中;匹配的 YARA 规则也可以从 Web UI 下载。
启用 SMB 横向监视需要高级许可证,但无论 SMB 使用如何,都可以安装和应用 YARA 规则。
有关横向检测的 YARA 规则的详细信息,请参阅 YARA 规则和横向检测。
自定义 SNORT 规则支持
支持客户上传 Snort 规则,这些规则将与瞻博网络 ATP 设备收集器监控的网络流量进行匹配,匹配结果显示在瞻博网络 ATP 设备中央管理器 Web UI 中。此外,瞻博网络 ATP 设备将触发的规则与触发时处于活动状态的事件相关联。所有触发的 SNORT 规则都显示在它们自己的主 Web UI 自定义规则选项卡中
有关详细信息,请参阅 配置自定义 SNORT 规则 。
电子邮件关联和缓解
实施恶意电子邮件关联功能不仅可以分析电子邮件附件(如以前版本中提供的那样),还可以通过分析企业电子邮件中的恶意 URL 来检测网络钓鱼。HTTP/SMB 事件与电子邮件事件之间的关联是在传入电子邮件中首次标识 URL 时执行的,然后终结点也会访问该 URL。为缓解网络钓鱼事件生成电子邮件警报。
电子邮件关联需要 Active Directory 配置。
有关详细信息,请参阅电子邮件网络钓鱼关联。
用于优化客户技术支持的反向 SSH 隧道
瞻博网络 ATP 设备提供反向 SSH 隧道功能,允许远程瞻博网络 ATP 设备技术支持团队直接调试客户网络中运行的核心/CM 安装。然后,技术支持可以通过 SSH 连接到同一子网中的组件辅助核心和 Web 收集器。
需要配置;客户启用/禁用此功能并指定反向 SSH 隧道操作的持续时间。有关详细信息,请参阅 配置 GSS 设置。
中央管理器 (MCM) 虚拟或硬件设备的管理器
瞻博网络 ATP 设备管理器的中央管理器 (MCM) 是一种为瞻博网络 ATP 设备客户提供集中式 Web UI 的设备,这些客户在不同地理位置(包括多租户 MSSP 站点)部署多个核心/中央管理器 (CM)。借助 MCM,拥有分布式企业的客户可以整合查看在注册到中央 MCM 的多个 CM 上检测到的恶意软件事件。
MCM 平台设备类型在瞻博网络 ATP 设备 CLI 中表示为“mcm”。MCM 从多个辅助中央管理器 (CM) 设备接收事件数据,并在主 MCM Web UI 中显示该数据。
MCM Web UI 是较大的瞻博网络 ATP 设备中央管理器 Web UI 的子集,除了设备刷新和注销选项卡选项外,还仅包括系统配置文件配置的“事件”选项卡和“配置”选项卡。
请注意,“CM 名称”列详细说明了每个事件的原始中央管理器的名称。
请参阅瞻博网络 ATP 设备管理器的中央管理器 (MCM) 用户指南和瞻博网络 ATP 设备CLI 命令参考。
Advanced Threat Analytics (ATA): External Event Collectors and New Events Timeline Dashboard
ATA 加快了安全团队的分析工作,安全团队必须对大量警报进行分类,以确定哪些事件很重要、哪些威胁是相关的,以及哪些事件值得事件响应 (IR) 团队立即关注。瞻博网络 ATP 设备高级威胁分析通过自动过滤和链接网络中其他安全基础架构来源的所有相关事件、识别受感染的用户并呈现整个安全设备的统一时间线视图来解决此问题。这使安全团队能够加快事件响应,并每天处理更有意义的安全事件。
您可以将每个外部事件收集器配置为将系统日志直接引入瞻博网络 ATP 设备核心,或用于 Splunk 引入。
原始日志经过筛选并显示在瞻博网络 ATP 设备事件 Web UI 页面上,瞻博网络 ATP 设备事件时间线仪表板提供了详细的主机视图。
例如,以下“事件”页面示例显示了瞻博网络 ATP 设备事件与外部源事件的关联:
例如,以下“事件”页面显示瞻博网络 ATP 设备检测到下载,外部源日志收集也存在与终端相关的恶意事件:
的事件时间轴仪表板
在另一个案例中,请注意,在事件时间轴仪表板上,瞻博网络 ATP 设备检测到感染进入命令和控制服务器,PAN 执行了拒绝操作:
的事件时间轴仪表板
可以展开“时间线”视图以显示所有事件详细信息,以显示最终用户何时以及如何执行恶意下载:
的事件时间轴仪表板
有关特定于所有第三方供应商的配置信息,请参阅 集成外部事件收集器。
用于 ATP 设备事件日志和事件数据管理的 Splunk 集成。
瞻博网络 ATP 设备端配置
单侧配置
有关配置信息,请参阅 配置 ATP 设备 Splunk 引入。
Carbon Black Response 和 Active Directory 通过 Splunk T摄取提供的身份配置选项
身份配置选项允许导入通过 Splunk 发送到瞻博网络 ATP 设备的所有炭黑响应日志,以及通过 Splunk 导入所有 AD 用户的访问详细信息,以获得更详细的端点事件报告。此功能补充了瞻博网络 ATP 设备对将日志从 Carbon Black Response 直接摄取到瞻博网络 ATP 设备核心的现有支持,为使用 Splunk 部署进行日志和事件处理的企业添加了 Splunk 转发选项。
需要多种配置:
您将需要执行多个配置:
从瞻博网络 ATP 设备 Web UI 配置 Splunk 瞻博网络 ATP 设备配置>环境设置>Splunk 集成。
配置来自瞻博网络 ATP 设备的炭黑响应 配置>环境设置>外部事件收集器。
从瞻博网络 ATP 设备配置>环境设置>身份配置中为 AD 和 Splunk 配置身份。
改进了恶意软件行为的表现形式
为了改进对威胁和恶意软件意图的评估和确定,行为分析改进根据恶意软件指标表现出的恶意特征将其分类为组。