由 ThreatDown 提供支持的托管威胁搜寻 (MTH) 是一项基于云的服务,旨在通过安全人员团队检测与威胁情报、自动化和精心编排的响应相关的潜在攻击,以及入侵摘要和升级的指标。
本文适用于所有 MTH 客户。
在您的帐户中激活服务后,TeamViewer 将通过弹出窗口进行确认。选择 设置 MTH 按钮继续进行初始设置。
在下一个屏幕上设置主要联系人、备用联系人和备用联系人。选择 主要联系人 下拉菜单,然后选择公司资料中所需的成员。如果未自动输入,请插入此联系人的主要电话号码。
完成后,单击 优惠 在屏幕的右上角。弹出通知指示已成功激活 托管威胁搜寻 。
托管威胁搜寻 (MTH) 门户管理服务的各个方面。您可以通过选择 Nebula 按钮来访问该门户,该按钮位于设置或检测选项卡中。进入 Nebula 后,选择托管服务以查看已报告的所有案例和事件。
由 ThreatDown 提供支持的 MTH 门户是您的许可证的控制仪表板。门户内是托管服务选项卡,您可以在其中看到 MTH 提供的所有报告。
托管服务分为两个主要部分:
概述选项卡通过一组交互式小部件提供托管服务案例的集中式高级摘要。这些小部件旨在提供案例活动的一目了然的见解,帮助用户有效地监控和评估其 Nebula 环境的安全状况。通过呈现简明而相关的数据,概述选项卡可作为了解趋势、确定关注领域和确定行动优先级的起点。
此选项卡对于快速了解您环境中的恶意活动特别有用。它支持特定时间的过滤,允许用户将显示信息的范围缩小到特定时期。此功能使在选定的时间范围内分析趋势或调查事件变得更加容易。
“概览”选项卡上有以下小部件,每个小部件都有特定的用途:
托管服务页面上的案例选项卡显示未结案例及其详细信息的列表。以下信息可在案例选项卡上找到:
要查看任何 MTH 案例的详情,请单击 ID 列中的 ID 号。这将在新抽屉中生成以下信息:
案例详情滑出中的“通信和历史记录”选项卡提供了全面的案例活动记录。这包括分析师之间的通信、详细的补救说明以及调查期间采取的行动日志。 要优化显示的信息,您可以使用图标过滤特定事件,例如评论、状态更新或其他关键更改,确保快速访问最相关的详细信息。
单个案例可能包含多个警报,通常代表在同一端点上发生的多个相互关联的恶意活动。这些警报被分组在一起以简化分析并增强上下文。警报和工件选项卡允许您查看案例的相关警报和相关项目。为了进行更深入的调查,每个警报旁边的转到检测按钮可直接访问与该案例相关的特定检测或可疑活动。
MTH 需要 EDR 的特定设置才能成功运行。这些设置位于 Endpoint Protection 策略设置中。要访问此功能,请导航到 Admin Settings(管理员设置 ),然后选择 Device Management(设备管理)下的 Policies(策略)。如果您已创建策略,则可以编辑此策略;否则,您可以通过从策略下拉列表中选择 Endpoint Protection 来创建新策略。请确保在适当的操作系统下激活以下设置:
5. 可疑活动监控
6. 隔离时锁定端点
设置所有必要的通知对于确保您和您的团队对潜在威胁保持警惕非常重要。以下信息与专门用于 托管威胁搜索 的通知有关。
创建新通知时,请选择“托管服务活动”。
建议添加一些有关何时发送通知的条件。这可确保您的管理员不会因不需要他们注意的消息而负担过重。
选择下面的每个 空白处选项以查看其可用值:
等于
等于
等于
在下一部分中,选择通知的发送方式。除了电子邮件之外,您还可以选择通过 Slack/Microsoft Teams、Webhook 或 ThreatDown Admin 应用程序接收通知。
在最后一步中,可以激活聚合,从而减少收到的通知并允许更多关注。这会根据您选择的间隔和分组选项,以及之前选择的活动类型、条件和投放方法,将多个警报合并到单个通知中。
选择 完成 在右下角保存新通知。