威胁

威胁可以被用来追踪妥协的指标,也被称为“IoC”。您可以创建自己的威胁或使用Rapid7或其他社区威胁来添加防御。

IoCs可能是已知的坏IP地址、域名或URL,如果组织中有人访问它,您希望得到警告。InsightIDR中的威胁也可以是一个散列,如果有人运行它,您希望得到该散列的警告。

要保护你的环境,就要学会如何保护利用现有的威胁添加你自己的威胁

要查看其他组织如何利用威胁,或查看其他Rapid7建议,您可以订阅社区威胁

新的威胁更新可能需要一个小时才能出现在用户行为分析(UBA)中。

威胁api

InsightIDR有更新的API您可以通过添加和替换指示器来与威胁进行交互。要使用此API,必须生成一个威胁密钥来识别威胁并应用指示动作。

生成威胁密钥

在配置威胁时,您将在右下角看到威胁API密钥字段。生成威胁密钥:

  1. 扩大威胁API密匙字段为所有选项。
  1. 选择格式、操作和请求类型。
  2. 根据您的选择,将出现一个cURL命令。

“协作威胁”

您的InsightIDR实例包括一个名为贡献协作威胁的私有威胁,它公开了InsightIDR威胁API供您在需要时使用。