来自 DDOS 2021-06-08 05:13 的文章

海外高防_ddos防御收费_如何防

海外高防_ddos防御收费_如何防

拥有一个集中的威胁情报平台(TIP)来收集、分析和处理你自己的威胁情报有很多好处。其中,通过提供一个直接的接口来加速他们的工作流程,使威胁分析人员能够与新的威胁数据进行交互。这使得协作对威胁分析过程更为简单和重要。使用ThreatConnect的分析师可以从任何来源获取一组原始指标,无论是人工生成的还是机器生成的,并利用该平台的功能为原始数据集注入新的"活力"和相关性。我说的"生命"是什么意思?我的意思是,有一个指标的集合,这些指标和利用它们的对手一样动态。该指示器自动丰富并与相关细节相关联,将它们与恶意活动或攻击中使用的关键基础设施组件相关联。"活跃"的指示器并不是停滞不前的;它们不是无所事事地坐在旋转的磁盘上等待过时,使用ThreatConnect,您可以让它们为您工作。考虑一下分析师通过让ThreatConnect回答一些应该向任何新指标提出的问题而节省的时间:在我的社区里,ddoscc攻击防御,或者在我的内部威胁连接组织中,谁见过这些相同的指标?是否有人已经将这些指标与其他事件、威胁或对手联系起来?对于我的主机和IP指示器,我可以获得哪些DNS和WHOIS查找数据以及更改的频率?如果此指示器更新或其他人看到它,是否可以提醒我?有能力快速而容易地得到这些问题的答案,这正是社区驱动的威胁情报手段如此强大的原因之一。那么,让我们从将内容导入事件的基本知识开始:创建事件:ThreatConnect的一个关键特性是能够快速组织数据、对其进行分组并将其关联起来,随着时间的推移,会产生越来越多的上下文。在这个例子中,我们将创建一个事件,但是根据我们的分析用例,我们可以使用其他分组。第一步:创建第二步:分类充实我们可以根据需要对事件应用任意多个系统级别或自定义属性,以捕获所有相关细节。我们还可以应用安全标签和自定义标签(稍后我们将在指示器上下文中讨论这个特性)。现在我们已经创建了一个事件,现在是时候用原始信息或完成的分析填充它了,这取决于您的偏好/单个用例。让我们看看如何在ThreatConnect中导入数据。导入指标:结构化与非结构化在ThreatConnect中,结构化数据导入允许用户在数据导入之前对其进行最大程度的控制,并且在导入之后所需的开销更小。由于不总是能够以结构化格式查找和聚合指标数据,ThreatConnect还提供了一个强大的功能,用于解析来自非结构化源(如文本、PDF和其他文档格式)的指标数据。它还保持分析性的生物舒适性,如"查找和替换"功能,可以破坏恶意网址,域名,或IP地址已修改,使他们无法点击。这意味着您可以从您最喜欢的分析博客或提供的最新PDF文档中获取任何文本,并将其直接加载到ThreatConnect中进行指标解析和提取。这大大加快了分析员的工作流程和威胁发现,让分析员可以完全绕过原本冗长而笨拙的手工提取和数据处理过程。它还允许你在你的分析中包含那些在未读的技术白皮书或博客中被搁置的指示符。ThreatConnect研究提示:有时您可能只希望使用结构化或非结构化导入,而有时,您可能希望同时使用这两种导入。这完全取决于数据是如何呈现给你的。考虑使用过滤功能来分配公共属性(描述、来源等)或评级和置信值。始终可以通过ThreatConnect API手动或以编程方式更新或更改这些内容。下面是如何导入结构化指标集的快速分步指南:第一步:导入要从我的ThreatConnect帐户中导入数据,只需从右上角的菜单栏中选择"导入指标":我想选择"结构化CSV",因为我使用的是电子表格。有关如何构造CSV的更多信息,请参考STRUCTURED CSV选项中的工具提示。请注意,我的CSV包含格式正确的指示符类型以及相应的指示符值。我已经为附加的上下文和引用包含了一个默认的描述和源属性。在填充的字段中,最后两个字段包含"1",并且是可选的,因为它们告诉ThreatConnect启用主机指示器的自动历史WHOIS和DNS查找信息。需要注意的是,如果您的WHOIS和DNS结果不是在导入后立即得到的,不要担心–ThreatConnect已经安排好了,它们将自动丰富。ThreatConnect研究提示:启用WHOIS和DNS跟踪功能是一个很好的经验法则,因为您希望ThreatConnect更新任何基础结构或注册更改。ThreatConnect还将关联到重叠的WHOIS元数据和DNS解析,随着时间的推移,揭示出任何不明显的关系。默认情况下,您将导入数据的目标目标将是您的个人或组织帐户。但是,cc防御源代码,您可以选择直接将数据导入到您可能属于的社区中,例如公共社区。请记住,这些社区可能有自己的匿名和数据共享政策和行为准则,因此,首先了解私人进口和社区进口之间的区别是很重要的。步骤2:验证在这一步中,我只需要验证所有8个字段是否都被正确标识。谢天谢地,ThreatConnect在验证过程中为您提供了帮助。如果此时碰巧有错误,只需仔细检查CSV的结构,防御ddos服务,并确保它符合导入工具提示中列出的格式。单击next之后,我可以验证我的10个指标是否都找到了。第三步:确认在这一步中,我将确认哪些指标是新的,ddos云防御买,哪些指标已经存在于我的社区中。在这里,我可以看到我的十个指标都已经存在了。这是一个好消息,因为这意味着我的组织或社区中的其他人已经做了一些初步分析,并且确保没有人需要重复做同样的工作。我还可以选择查看现有指标,以确保它们与我目前正在工作的事件、威胁或对手没有关联。如果您的指标已经存在于系统中,重新添加现有指标会将任何新的描述和来源附加到您有权访问的任何现有指标属性中,从而捕获有关可能是"惯犯"的指标的新信息。第四步:安全标签和标签一旦确认,我想选择适合我的目标受众的安全标签。安全标签允许我围绕指标本身以及属性内的关联上下文设置自定义安全控件。我可能还想标记我的指示器。标记是一种强大的方法,可以让其他分析师更容易地快速识别和分类我的数据,并将它们与类似的智能主题关联起来。威胁连接研究提示:在对指标、组或属性进行分类时,安全标签非常方便。安全标签允许您传达内容是否可以共享以及如何使用信息的意图。ThreatConnect Research创建和使用的示例是客户机密或批准发布的。步骤5:创建新关联并保存最后,在最后一步中,我将把我的指标与现有的相应分组相关联,例如,我创建并点击保存的事件、威胁、电子邮件或对手。请注意,指标还可以与特定的对手、威胁、签名、电子邮件、任务和文档相关联。非结构化数据导入当导入一组非结构化的指标时,我将大致遵循相同的过程。关键区别仅适用于步骤1、2和3,因此下面的说明将只关注非结构化导入过程中的不同之处。第一步:导入我首先导入了一个PDF文件,它是我从bluecoatlabs博客上的一篇关于"Inception战役"的伟大白皮书中获得的。这篇文章包含了大量的指标数据,这些数据花费了我太长的时间来手动解析自己,但我想立即捕获这些数据,丰富并寻找我的防御集成中的一些内容。步骤2:验证从非结构化数据导入时,需要注意的是,解析引擎将提取任何看起来像指示器的内容。这通常包括主机名、电子邮件地址、url和IP地址,这些地址不是恶意的,而是在文档中引用的。分析人员需要验证这些指标是否值得关注,并在导入之前对不感兴趣的指标进行删减,ddos攻击防御技术,以确保捕获到所需的内容。第三步:确认在验证数据之后,我可以选择添加描述、来源、评级和置信度。注意:我在这里所做的任何更改都适用于我的所有指标。由于这些值会随每个指标的不同而变化,因此在完成导入后,我将选择跳过此步骤,并对每个指标单独应用必要的更改。结论不幸的是,长期以来,对许多威胁情报小组来说,最先进的技术就是电子邮件和电子表格。长时间跟踪多个动态威胁不再适应基本办公自动化的特点。内容和上下文无处不在,从分析师收件箱到下载文件夹。有了ThreatConnect,分析师们现在可以复活w