更新时间:2023-05-25
威胁情报一种基于证据的知识,包括情境、机制、指标、影响和操作建议。威胁情报描述了现存的、或者是即将出现针对目标的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。威胁情报可以帮助客户判断当前面临的威胁现状与趋势(被攻击、已失陷等,处于攻击链的某个阶段),将网络攻击造成的影响最小化。 威胁情报产出来自于云端和本地,其中本地产出主要来自于情报检测引擎和用户自定义的威胁情报,外部来源于深信服云脑采集互联网攻击IP,并通过安全专家分析获得。
在威胁情报共享页面可以查看当前情报概览以及情报列表。
自动联动封锁设置
在[重保中心/重保威胁情报]页面下,点击<自动联动封锁设置>,弹出配置窗口,配置相关信息,建议勾选“自动封锁云端情报”,点击<确认>,即完成配置,如下图所示。
其中:
• 自动化情报:为SIP本地情报检测引擎,从安全日志/安全告警/安全事件中识别到的威胁情报。
• 自定义情报:自定义添加的情报,位置在[分析中心/情报分析/自定义威胁情报]进行添加。
• 云端情报:深信服云端平台同步到SIP上,准确度高,建议开启自动封锁,SIP需要连接深信服云脑域名/URL,包括:ti.sangfor.com.cn、sec.sangfor.com.cn、upd.sangfor.com.cn、download.sangfor.com.cn、intelligence.sangfor.com.cn。
识别到的情报威胁会在情报列表展示,如下图所示。
威胁情报筛选
管理员可以通过区域、情报来源、处置状态进行筛选,也支持通过时间进行指定时间段的威胁情报查看,同时,也支持输入IOC进行搜索。
威胁情报处置
- 若平台有AF接入,且完成了SIP与AF的联动配置,可以进行如下处置:
• 管理员可以点击<联动封锁>,创建联动策略,包括联动设备以及封锁时长等,当AF接收到下发的联动策略,并完成联动封锁,该情报的状态会自动变成“已处置(联动封锁)”;
• 若手动封锁,直接点击<标记为封锁>,状态会变成“已标记封锁”;
• 若出现研判错误导致的封锁,可以点击<解除封锁>,如下图所示。
- 若平台没有AF设备接入,可以点击<复制IOC>,将威胁情况进行复制,加入到对应的安全网关进行封锁,并在SIP上标记为已封锁。
支持批量处置与情报列表的导出。点击<导出>,默认导出当前所有的情报列表,如下图所示。
联网情况下SIP每5min一次,会自动从云脑拉取最新的互联网攻击特征的IP情报信息。