EventLog Analyzer的内置STIX/TAXII安全处理器

Posted 2023-03-17

在当今不断变化的威胁环境中，高效减轻威胁的关键在于早期威胁检测。获取最新的全球威胁信息是这一过程的关键，但没有任何机构内部拥有这类信息。STIX/TAXII协议填补了这一空白，为识别和共享威胁信息提供了全球适用的标准。EventLog Analyzer的最大优势之一是威胁情报平台，它可以支持STIX/TAXII协议。EventLog Analyzer处理基于STIX/TAXII的安全处理，以便在全球黑名单IP和URL与您的网络交互时向您发出实时告警。

EventLog Analyzer

一、EventLog Analyzer提供的威胁检测功能

• 可获取全面的信息库：EventLog Analyzer处理一些基于STIX/TAXII协议的最显著威胁订阅源。
• 动态威胁信息：EventLog Analyzer从威胁订阅源中自动提取最新信息，以确保您的信息是最新的。
• 不需要任何配置：EventLog Analyzer会在部署后立即开始处理这些订阅源。

二、检测恶意入侵

如果恶意IP或URL出现在您的网络上，那么EventLog Analyzer会即时通知您，以便您采取更正措施。这样一来，您就可以阻止恶意联系企图、来自全球黑名单服务器的传入流量、高级持续威胁以及拒绝服务攻击和漏洞利用。

三、阻止数据窃取

许多类型的恶意软件指示受感染的系统将关键数据发送到某个命令和控制(C2C)服务器。通过EventLog Analyzer中的恶意URL检测，您现在可以即时检测任何目标为C2C服务器的传出流量。您甚至可以使用自定义脚本在传输任何数据之前切断通信通道，从而防止关键数据丢失。

日志审计

EventLog Analyzer的威胁情报平台通过尽早捕获入侵和攻击来帮助抵御网络威胁。它使您能够始终比最新网络威胁快一步，从而让网络安全的控制权重新回到您的手中。

使用EventLog Analyzer审核Cyber Essentials

由英国政府率先推出并得到业界知名人士支持的“网络基本计划”可帮助组织保持良好的网络安全前景。它定义了一组基本的安全控制措施，组织应采取这些措施来保护其网络免受网络威胁并确保信息安全。对于任何希望竞标涉及处理敏感或个人数据的公共部门合同的组织，Cyber Essentials认证都是必需的。EventLog Analyzer附带了预定义的报告，可帮助您遵守Cyber Essentials所需的各种安全控制。

该计划提出的安全控制措施分为五个基本类别，如下所述。

审核Cyber Essentials

边界防火墙和互联网网关

Cyber Essentials要求使用防火墙来保护网络中连接到Internet的每台设备。防火墙可以控制流入或流出网络的流量，并防止与可疑来源的连接。该方案要求将这些防火墙配置为满足您网络的安全要求，其中包括查看和更改默认设置，防止远程访问管理界面以及监视任何未经授权的配置更改。

安全配置

与防火墙类似，您必须确保所有设备和应用程序服务器均经过最佳配置以适合您的网络要求。任何新设备上的默认设置都可能启用了所有功能和连接模式，以便于访问和使用。这效率低下，并且可能还为攻击者提供了进入网络的简便入口点。因此，有必要将所有设备和应用程序配置为仅提供所需的服务，并仔细监视其使用情况。

用户访问控制

用户帐户是任何网络中有价值的实体。用户帐户的设置方式决定了用户可以访问哪些设备和信息。特别是，特权用户帐户在任何网络中都具有最高的访问级别。您必须仔细监督用户帐户的创建，修改和删除，以确保它们被授权使用，并且仅提供特定用户执行其职责所需的必要数量的权限。

恶意软件防护

攻击者经常试图向公司网络注入旨在窃取敏感网络信息或资源的恶意软件。您必须具有适当的防御机制，以识别潜在的恶意软件安装并防止其在您的网络中传播。您还应该制定规则来管理用户软件安装，并监视网络中是否有未经授权的软件使用。

补丁管理

使所有设备和软件保持最新至关重要。所有设备都至少包含一些漏洞，一旦被发现，攻击者将立即利用漏洞利用您的网络。您应不断扫描网络中的漏洞，并在供应商提供最新补丁程序时将最新补丁程序应用于设备和应用程序。

EventLog Analyzer

EventLog Analyzer中的其他安全功能

除了上述审核报告之外，EventLog Analyzer还具有高级安全功能，因此您可以成为第一个知道网络中何时发生潜在违规事件的人。该产品包括用于检测潜在恶意软件安装的内置规则以及用于识别与已知恶意实体的通信的威胁情报模块。EventLog Analyzer的详细报告和安全功能使其成为满足Cyber Essentials要求的首选解决方案。