利用现有威胁

虽然InsightIDR有一系列内置警报,但您可以利用现有的威胁源接收据称具有恶意的特定警报关联指示器(IP地址、域、哈希和URL)。InsightIDR检测到其中一个指示灯时,会触发警报。

您可以使用Rapid7或其他公司发现的威胁,也可以加上你自己的威胁.

根据您的数据区域,社区威胁的数量可能有所不同。一些数据区域的客户更少,因此社区威胁也更少。

配置威胁源

要配置威胁源,请执行以下操作:

  1. 挑选调查在InsightIDR主页的左侧菜单上。
  2. 挑选配置威胁在右上角。
  1. 您将看到您的威胁提要,由订阅的威胁或您自己的威胁组成。如果这是您第一次访问“威胁”页面,此部分将为空白。
  2. 要订阅新威胁,请单击威胁社区按钮在右上角。

订阅威胁社区

“威胁社区”页面允许您订阅各种威胁。威胁社区包含两种可用的威胁:由Rapid7创建的威胁和由其他组织创建的威胁。

要访问Rapid7威胁,请选择Rapid7 MDR英特尔标签。带有Rapid7徽标的订阅源中的任何威胁都将来自Rapid7,并将表明您是否订阅了这些威胁。

每个威胁都包含一个指标计数、威胁描述以及它所属的源。

  • 点击看法关于威胁要看具体细节。每个威胁包括指标数量、组织跟踪数量、误报率和生成的警报数量。
  • 点击订阅根据组织的威胁概况,跟踪指标并接收有价值的警报。

威胁社区提要中的其余威胁是由其他组织创建的。

请注意,由其他组织创建的威胁不会被Rapid7审查,因此建议在订阅威胁之前审查它们。

为什么我的威胁指标过期了?

如果你的威胁有一个橙色的条纹,你需要将你的指标标记为仍然相关。

看见攻击者行为分析(ABA)有关指标过期原因的更多信息。

威胁情报警报

一旦你订阅了威胁,各种警报将在InsightIDR中被激活:

  • 帐户收到可疑链接:InsightIDR可提醒您注意用户收件箱中的恶意链接
  • 账户访问可疑链接: InsightIDR可以提醒您,当用户访问的URL是跟踪的威胁的一部分,基于防火墙或DNS事件。
  • 端点威胁智能匹配:InsightIDR可以在端点上检测到与跟踪的威胁匹配的进程哈希时向您发出警报。
  • 来自社区的威胁:InsightIDR可以在用户从与跟踪的社区威胁匹配的IP地址远程登录网络时向您发出警报。
  • 免受威胁:当用户远程登录网络时,如果IP地址匹配归属威胁,InsightIDR会提醒用户。
  • 威胁的网络访问:InsightIDR可以在网络上的用户访问与跟踪的威胁匹配的域或IP地址时向您发出警报。

如果您收到来自您订阅的社区威胁的警报,您将能够在关闭警报时将该威胁标记为假阳性。

使用API

InsightIDR有一个RESTAPI可供您自动添加和替换威胁指示器。要使用此API,您必须生成威胁密钥识别威胁并采取指示措施。