管理威胁检测

在线编辑

IBM® Verify 可以分析和关联租户之间的模式,以检测威胁指标,例如尝试强制访问,凭证填充攻击以及已建立的使用模式中的偏差。 这些警报作为审计事件流的一部分提供,可用于执行主动补救操作,例如禁用受损用户帐户或应用程序客户机。

准备工作

  • 您必须具有管理许可权,才能完成此任务。
  • 以管理员身份登录到 IBM Verify 管理控制台。 有关更多信息,请参阅访问 IBM Verify

关于此任务

注: Verify 威胁检测和补救会检测并补救特定类型的恶意 IP 流量。 虽然它不保证 100% 的恶意 IP 地址被检测到或得到补救,但它确实提高了您的安全性,降低了您的安全风险。

管理员可以设置他们的验证 SaaS 环境,以发出警报和/或主动阻止由已识别攻击产生的登录流量。 这些攻击可能来自对您的特定 IBM Verify SaaS 环境的攻击,也可能来自从其他 Verify SaaS 租户处发现的攻击,您的租户可以主动采取缓解措施。

IBM Verify 检测带有攻击迹象的可疑流量,生成威胁事件。 管理员可以使用 "威胁事件" 报告来查看事件,并执行手动主动操作 (例如,阻止用户)。

过程

  1. 选择 “安全” > “威胁检测 ”。

    如果租户中不存在先前的策略,请单击 创建威胁策略 按钮以配置新的威胁检测和补救策略。

    对于现有策略,屏幕以表格格式显示按 名称状态描述主题创建时间上次更新时间列出的记录。

    点击 图标 网格列表 图标可在网格视图和列表视图之间切换。

    点击图标 打开选项列表 ,选择启用删除已创建的策略。 在列表视图中,将鼠标悬停在记录上会显示 图标 作为草稿进行编辑

  2. 单击 创建威胁策略 按钮以创建新的威胁检测和补救策略。 有关详细信息,请参阅创建威胁策略
  3. 可以启用创建的威胁策略。 对于已启用的策略, 状态 在主 威胁检测 屏幕中显示为 活动 。 有关详细信息,请参阅启用威胁策略
    注: 一次只能启用一个威胁检测策略。 在另一个处于活动状态时启用威胁检测策略,禁用当前已启用的策略
  4. 创建策略后,可以先查看该策略并进行更改,然后再启用。 有关详细信息,请参阅《 编辑威胁策略》。