安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.65
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","重保威胁情报")}}

重保威胁情报

更新时间:2022-07-29

威胁情报一种基于证据的知识,包括情境、机制、指标、影响和操作建议。威胁情报描述了现存的、或者是即将出现针对目标的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。威胁情报可以帮助客户判断当前面临的威胁现状与趋势(被攻击、已失陷等,处于攻击链的某个阶段),将网络攻击造成的影响最小化。 威胁情报产出来自于云端和本地,其中本地产出主要来自于情报检测引擎和用户自定义的威胁情报,外部来源于深信服云脑采集全网攻击IP,并通过安全专家分析获得。

在威胁情报共享页面可以查看当前情报概览以及情报列表。

自动联动封锁设置

在[重保中心/重保威胁情报]页面下,点击<自动联动封锁设置>,弹出配置窗口,配置相关信息,建议勾选“自动封锁云端情报”,点击<确认>,即完成配置,如下图所示。

其中:

  • 自动化情报:为SIP本地情报检测引擎,从安全日志/安全告警/安全事件中识别到的威胁情报。

  • 自定义情报:自定义添加的情报,位置在[分析中心/情报分析/自定义威胁情报]进行添加。

  • 云端情报:深信服云端平台同步到SIP上,准确度高,建议开启自动封锁,SIP需要连接深信服云脑域名/URL,包括:ti.sangfor.com.cn、sec.sangfor.com.cn、upd.sangfor.com.cn、download.sangfor.com.cn。

识别到的情报威胁会在情报列表展示,如下图所示。

威胁情报筛选

管理员可以通过区域、情报来源、处置状态进行筛选,也支持通过时间进行指定时间段的威胁情报查看,同时,也支持输入IOC进行搜索。

威胁情报处置

  1. 若平台有AF接入,且完成了SIP与AF的联动配置,可以进行如下处置:

  • 管理员可以点击<联动封锁>,创建联动策略,包括联动设备以及封锁时长等,当AF接收到下发的联动策略,并完成联动封锁,该情报的状态会自动变成“已处置(联动封锁)”;

  • 若手动封锁,直接点击<标记为封锁>,状态会变成“已标记封锁”;

  • 若出现研判错误导致的封锁,可以点击<解除封锁>,如下图所示。

  1. 若平台没有AF设备接入,可以点击<复制IOC>,将威胁情况进行复制,加入到对应的安全网关进行封锁,并在SIP上标记为已封锁。

支持批量处置与情报列表的导出。点击<导出>,默认导出当前所有的情报列表,如下图所示。

联网情况下SIP每5min一次,会自动从云脑拉取最新的情报信息。