在 JSA 中使用参考数据

使用参考数据收集来存储和管理您希望与 JSA 环境中的事件和流相关的业务数据。您可以将业务数据或外部来源的数据添加到参考数据收集中，然后在 JSA 搜索、过滤器、规则测试条件和规则响应中使用这些数据。

参考数据集合存储在 JSA 控制台上，但这些集合会定期复制到每个托管主机。为了在数据查找中实现最佳性能，托管主机会缓存最常用的参考数据值。

外部威胁情报数据

您可以使用参考数据集合将来自第三方供应商的受损指标（IOC）数据集成到 JSA 中。 JSA 使用 IOC 数据更快地检测可疑行为，帮助安全分析师调查威胁并更快地响应事件。

例如，您可以从开源或基于订阅的威胁数据提供商导入 IP 地址、DNS 名称、URL 和 MD5 等 IOC 数据，并将其与网络上的事件和事件相关联。

参考数据集合可以包含贵组织特定的业务数据，例如具有特权系统访问权限的用户列表。使用业务数据创建阻止列表和允许列表。

例如，使用包含被终止员工的用户编号的参考集，以防止他们登录到网络。或者，您可以使用业务数据构建允许列表，该列表仅允许有限一组 IP 地址执行特定功能。