由 ThreatDown 提供支持的托管威胁搜寻 (MTH) 是一项基于云的服务,旨在通过安全人员团队检测与威胁情报、自动化和精心编排的响应相关的潜在攻击,以及入侵摘要和升级的指标。

本文适用于所有 MTH 客户。

托管威胁搜寻的特点

  • 24x7x365 Malwarebytes 端点检测和响应 (EDR) 主动威胁搜寻和补救指南。
  • 训练有素的安保人员 ,具有为各种规模和垂直领域的客户提供服务的背景。
  • 由专有分析引擎支持的后端人工智能和机器学习
  • 基于云的专有后端平台,具有 集成的情报源
  • 关键入侵指标 (IoC) 的 31 天回顾
  • 事件由 Nebula® ThreatDown 门户谨慎提出。
  • 基于事件严重性的客户驱动的分层通知

第一步

在您的帐户中激活服务后,TeamViewer 将通过弹出窗口进行确认。选择 Setup MTH 按钮继续进行初始设置。

在下一个屏幕上设置主要联系人、备用联系人和备用联系人。选择 Primary contact 下拉菜单,然后选择公司资料中所需的成员。如果未自动输入,请插入此联系人的主要电话号码。

注意: 只需要主要联系人。如果需要,可以添加 Backup 和 Alternate contacts。

完成后,单击 优惠 在屏幕的右上角。弹出通知指示已成功激活 Managed Threat Hunting

注意: 在尝试激活 托管威胁搜寻之前,必须先激活 EDR。如果您在激活端点检测和响应之前尝试激活 MTH 附加组件,将显示一条错误消息。

如何访问 MTH 门户

托管威胁搜寻 (MTH) 门户管理服务的所有方面。可以通过选择 Nebula 按钮来访问它,该按钮可以在设置或检测选项卡中找到。进入 Nebula 后,选择右上角的 MTH Portal

发现 MTH 门户

有关 Managed Threat Hunting 检测到的威胁的所有报告都可以在 MTH 门户中查看。要导航到 MTH 门户的其他部分,请使用左上角的菜单。

挡泥板

控制面板包含所有设备和威胁的快速概览,包括从一个月到更长时间的报告概览。这还会在 Environment Summary (环境摘要) 中提供所有案例、警示和事件的状态。

您的工作簿

您的工作簿 是需要您的帮助才能执行其他操作的所有情况的简单概述。此外,此处还显示了之前提供的有关所有威胁的报告。

如何设置 MTH 以优化对端点的保护

MTH 需要 EDR 的特定设置才能成功运行。这些设置位于 Endpoint Protection 策略设置中。要访问此功能,请导航到 Admin Settings(管理员设置 ),然后选择 Device Management(设备管理)下的 Policies(策略)。如果您已创建策略,则可以编辑此策略;否则,您可以通过从策略下拉列表中选择 Endpoint Protection 来创建新策略。请确保在适当的操作系统下激活以下设置:

  1. 可疑活动监控
  2. 服务器操作系统监控
  3. 隔离时锁定端点
  4. 勒索软件回滚

5. 可疑活动监控

6. 隔离时锁定端点

如何确保高效的通知

设置所有必要的通知对于确保您和您的团队对潜在威胁保持警惕非常重要。以下信息与专门用于 Managed Threat Hunting 的通知有关。

注意: 通知在 ThreatDown 的 Nebula 控制台中进行管理。

创建新通知时,请选择“Managed Services 活动”。  

建议添加一些有关何时发送通知的条件。这可确保您的管理员不会因不需要他们注意的消息而负担过重。

选择下面的每个 Field 选项以查看其可用值:

等于

  • 全部
  • 已创建案例
  • 案例更新
  • 结案

等于

  • 全部
  • 紧急
  • 高等
  • 中等
  • 低等

等于

在下一部分中,选择通知的发送方式。除了电子邮件之外,您还可以选择通过 Slack/Microsoft Teams、WebhookThreatDown Admin 应用程序接收通知。

在最后一步中,可以激活聚合,从而减少收到的通知并允许更多关注。这会根据您选择的间隔和分组选项,以及之前选择的活动类型、条件和投放方法,将多个警报合并到单个通知中。

选择 完成 在右下角保存新通知。