由 ThreatDown 提供支持的托管威胁搜寻 (MTH) 是一项基于云的服务,旨在通过安全人员团队检测与威胁情报、自动化和精心编排的响应相关的潜在攻击,以及入侵摘要和升级的指标。
本文适用于所有 MTH 客户。
在您的帐户中激活服务后,TeamViewer 将通过弹出窗口进行确认。选择 Setup MTH 按钮继续进行初始设置。
在下一个屏幕上设置主要联系人、备用联系人和备用联系人。选择 Primary contact 下拉菜单,然后选择公司资料中所需的成员。如果未自动输入,请插入此联系人的主要电话号码。
完成后,单击 优惠 在屏幕的右上角。弹出通知指示已成功激活 Managed Threat Hunting 。
托管威胁搜寻 (MTH) 门户管理服务的所有方面。可以通过选择 Nebula 按钮来访问它,该按钮可以在设置或检测选项卡中找到。进入 Nebula 后,选择右上角的 MTH Portal。
有关 Managed Threat Hunting 检测到的威胁的所有报告都可以在 MTH 门户中查看。要导航到 MTH 门户的其他部分,请使用左上角的菜单。
控制面板包含所有设备和威胁的快速概览,包括从一个月到更长时间的报告概览。这还会在 Environment Summary (环境摘要) 中提供所有案例、警示和事件的状态。
您的工作簿 是需要您的帮助才能执行其他操作的所有情况的简单概述。此外,此处还显示了之前提供的有关所有威胁的报告。
MTH 需要 EDR 的特定设置才能成功运行。这些设置位于 Endpoint Protection 策略设置中。要访问此功能,请导航到 Admin Settings(管理员设置 ),然后选择 Device Management(设备管理)下的 Policies(策略)。如果您已创建策略,则可以编辑此策略;否则,您可以通过从策略下拉列表中选择 Endpoint Protection 来创建新策略。请确保在适当的操作系统下激活以下设置:
5. 可疑活动监控
6. 隔离时锁定端点
设置所有必要的通知对于确保您和您的团队对潜在威胁保持警惕非常重要。以下信息与专门用于 Managed Threat Hunting 的通知有关。
创建新通知时,请选择“Managed Services 活动”。
建议添加一些有关何时发送通知的条件。这可确保您的管理员不会因不需要他们注意的消息而负担过重。
选择下面的每个 Field 选项以查看其可用值:
等于
等于
等于
在下一部分中,选择通知的发送方式。除了电子邮件之外,您还可以选择通过 Slack/Microsoft Teams、Webhook 或 ThreatDown Admin 应用程序接收通知。
在最后一步中,可以激活聚合,从而减少收到的通知并允许更多关注。这会根据您选择的间隔和分组选项,以及之前选择的活动类型、条件和投放方法,将多个警报合并到单个通知中。
选择 完成 在右下角保存新通知。