配置威胁情报洞察外部数据源

在线编辑

IBM® Security Threat Intelligence Insights 集成了来自外部源的额外威胁情报订阅源。 配置来自外部源的威胁情报订阅源需要来自供应商的高级许可证密钥。

关于此任务

只有管理员才能为 Threat Intelligence Insights 配置外部数据源。

支持来自以下供应商的订阅源: AlienVault OTX , Cisco 威胁网格, MaxMind 地理位置, SANS Internet StormCenter, virustotal , Mandiant 威胁情报,记录的未来, ThreatQ和逆向实验室。

重要信息: 要从逆向实验室源获取 IP , URL ,域和散列的扩充项, API 密钥必须有权访问以下三个端点:
  • TCA-0101 File Reputation
  • TCA-0402 URI Statistics
  • TCA-0403 URL Threat Intelligence

程序

  1. 在主菜单中的 常规设置下,单击 连接> 威胁情报源
  2. 单击 设置 图标,然后添加供应商的 API 密钥。
  3. 选择要接收的报告类型。

    每个供应商支持不同的报告类型,例如域、散列、IP 或 URL。

  4. 单击 保存

结果

扫描并找到指示符后,Threat Intelligence Insights 会显示从供应商处收到的任何证据。

  • 在 Threat Intelligence Insights 中,单击威胁中的指示符,以在侧窗格的其他源下查看第三方威胁源信息的摘要。
    • 单击查看报告并选择“其他源”选项卡。
    • 该选项卡上列出的每个配置的威胁源都可以展开,以显示实际的威胁源报告。
    • 在 Case Management 中触发响应工作流程。
  • 在 "案例管理" 中,要显示第三方智能,请选择下列其中一种方法:
    • 将鼠标悬停在指示一个或多个匹配的威胁源的红色三角形上,查看命中数。
    • 单击指标行,以查看“案例工件详细信息”和每个威胁源命中摘要。
    • 单击威胁源摘要将打开侧边窗格,其中包含更多工件命中详细信息。
    • 在“案例”工件中,您可以通过选择在 Data Explorer 中运行查询操作以使用 Data Explorer 进一步调查。
  • Data Explorer 扫描后,单击指标可显示侧边窗格,其中包含威胁源详细信息。
提示: 如果未对 Cloud Pak for Security 平台启用 Threat Intelligence Insights 应用程序,那么将在侧窗格中显示第三方威胁情报源,并且仅扩充案例工件。