alienvault公司主要面向中小型企业,提供统一安全管理平台(usm)和开放式威胁情报交换平台(otx)等网络安全产品。alienvault的开放威胁交换(otx)是一个全球领先的开放威胁信息共享和分析网络。otx拥有一个由威胁研究人员和安全专业人员组成的全球社区,来自140个国家的5万多名参与者,每天贡献超过400万个威胁指标。
AlienVault还提供了一个免费的全球威胁仪表盘,地址为https://www.alienvault.com/open-threat-exchange/dashboard#/threat/top,该仪表盘展示了来自OTX社区的一些威胁数据。以下是笔者对OTX使用的介绍:
一、创建OTX账户(如下图,可以选择使用Google或Twitter账号)
访问https://otx.alienvault.com。
-
在主页右上角,点击注册。填写出现的表单,输入以下信息:
a. 用户名;
b. 电子邮件地址;
c. 您选择的密码。
收到邮件后,点击邮件中的链接,进入OTX确认页面,然后点击确认。这将带您进入OTX主页(https://www.php.cn/link/aa45ea35cbdcb42012f2bf55012a0624。
二、登录及使用
您可以使用上面创建的账户进行登录,也可以使用已有的Google或Twitter账号。登录后,您可以看到最新推送的内容,包括PULSES、ACTIVITY、SUGGESTED EDITS,关注的内容,您的动态和参与编辑的内容。
您可以通过编辑左侧的group来增加您的群组、关注群组。
通过右上角的setting和profile来设置个人喜好内容:
三、查看图表
您可以从仪表盘界面查看当前威胁情况、统计分类、最新推送信息、安全新闻等。注意:有些内容无法查看,由于国家法规,不建议访问外国网站使用,哈哈哈哈~
还可以通过搜索来查找比较感兴趣的威胁内容:
四、浏览详细内容和其他操作
右上角的操作对应home的编辑、关注、群组、下载克隆等。
五、使用OTX的社区支持的威胁情报来扫描端点,寻找已知的折衷指标(IOCs)
OTX端点安全使用与昂贵的端点安全工具和DIY开源代理相同的基于代理的方法,它具有免费、简单、可靠的特性。
- 首先,下载并安装AlienVault代理到您想要监控的Windows或Linux设备上。本文以Windows为例。注意:Windows使用PowerShell方式安装,支持3.0以上版本。
- PowerShell运行安装脚本,发现报错。
- 使用管理员权限运行脚本,并执行set-ExecutionPolicy RemoteSigned来开启脚本执行策略。
- 执行成功后,您可以在账户页面看到终端信息。
- 执行扫描,您可以选择多种扫描方式,包括基于可选pulse的、yara策略的、基于所有策略的、基于订阅更新的等。我们先选择所有策略运行,可以通过history查看扫描记录和风险内容。
结束语
AlienVault的特工准备好寻找威胁,通过选择在一个或多个OTX中查找IOCs的预定义查询,可以在OTX的任何端点上启动查询。一旦启动,AlienVault代理将执行查询,查询结果将显示在OTX中的摘要页面上。
注意:在OTX中,没有一种机制可以持续或自动监控端点上出现的威胁。您必须手动启动每个扫描任务。
*本文作者:破天·张坤,转载请注明来自FreeBuf.COM
