威胁检测管理

IBM® Verify 能够分析并关联不同租户之间的模式,从而检测威胁指标,例如暴力破解访问尝试、凭证填充攻击以及既定使用模式的异常。 这些警报作为审计事件流的一部分提供,可用于采取主动补救措施,例如禁用遭到入侵的用户帐户或应用程序客户端。

准备工作

  • 您必须具有管理许可权,才能完成此任务。
  • 以管理员身份登录管理控制台 IBM Verify 如需了解更多信息,请参阅《 访问 IBM Verify 》。

关于此任务

Verify 威胁检测与修复功能可检测并修复特定类型的恶意IP流量。 虽然这不能保证能检测或处理100%的恶意IP地址,但确实能提升您的安全性并降低安全风险。

管理员可以将“验证 SaaS ”环境设置为对已识别的攻击产生的登录流量发出警报和/或主动进行拦截。 这些攻击可能源于针对您特定 IBM VerifySaaS 环境的攻击,也可能是从其他 VerifySaaS 租户中识别出的攻击,对此您的租户可以采取主动缓解措施。

IBM Verify 检测带有攻击指标的可疑流量,并据此生成威胁事件。 管理员可以通过“威胁事件”报告查看相关事件,并采取手动主动措施,例如封禁用户。

过程

  1. 选择 “安全” > “威胁检测 ”。

    如果租户中尚无现有策略,请单击 “创建威胁策略 ”按钮以配置新的威胁检测和修复策略。

    对于现有政策,屏幕以表格形式显示记录,按名称状态描述主题创建日期最后更新日期进行排序。

    网格 点击 图标或 列表 图标,可在网格视图和列表视图之间切换。

    点击图标 打开选项列表 ,然后选择 “启用 ”或 “删除” 已创建的策略。 在列表视图中,将鼠标悬停在记录上时会显示 图标。 作为草稿进行编辑

  2. 单击 “创建威胁策略 ”按钮,以创建新的威胁检测和修复策略。 有关详细信息,请参阅 “创建威胁策略 ”。
  3. 已创建的威胁策略可以启用。 对于已启用的策略,其 “状态” 将在 “威胁检测 ”主界面中显示为 “已启用”。 更多详细信息,请参阅 “启用威胁策略”
    注意: 每次只能启用一项威胁检测策略。 在另一项策略处于活动状态时启用威胁检测策略,将禁用当前启用的策略
  4. 创建策略后,可以在启用前对其进行审查并进行修改。 有关更多详细信息,请参阅“编辑威胁策略”。