由 ThreatDown 提供支持的托管威胁搜寻 (MTH) 是一项基于云的服务,旨在通过安全人员团队检测与威胁情报、自动化和精心编排的响应相关的潜在攻击,以及入侵摘要和升级的指标。

本文适用于所有 MTH 客户。

托管威胁搜寻的特点

  • 24x7x365 Malwarebytes 端点检测和响应 (EDR) 主动威胁搜寻和补救指南。
  • 训练有素的安保人员 ,具有为各种规模和垂直领域的客户提供服务的背景。
  • 由专有分析引擎支持的后端人工智能和机器学习
  • 基于云的专有后端平台,具有 集成的情报源
  • 关键入侵指标 (IoC) 的 31 天回顾
  • 事件由 Nebula® ThreatDown 门户谨慎提出。
  • 基于事件严重性的客户驱动的分层通知

第一步

在您的帐户中激活服务后,TeamViewer 将通过弹出窗口进行确认。选择 设置 MTH 按钮继续进行初始设置。

在下一个屏幕上设置主要联系人、备用联系人和备用联系人。选择 主要联系人 下拉菜单,然后选择公司资料中所需的成员。如果未自动输入,请插入此联系人的主要电话号码。

注意: 只需要主要联系人。如果需要,可以添加 后备 和 备用联系人。

完成后,单击 优惠 在屏幕的右上角。弹出通知指示已成功激活 托管威胁搜寻 。

注意: 在尝试激活 托管威胁搜寻之前,必须先激活 EDR。如果您在激活端点检测和响应之前尝试激活 MTH 附加组件,将显示一条错误消息。

如何访问 MTH 门户

托管威胁搜寻 (MTH) 门户管理服务的各个方面。您可以通过选择 Nebula 按钮来访问该门户,该按钮位于设置或检测选项卡中。进入 Nebula 后,选择托管服务以查看已报告的所有案例和事件。

探索 MTH 门户

由 ThreatDown 提供支持的 MTH 门户是您的许可证的控制仪表板。门户内是托管服务选项卡,您可以在其中看到 MTH 提供的所有报告。

托管服务分为两个主要部分:

概述

概述选项卡通过一组交互式小部件提供托管服务案例的集中式高级摘要。这些小部件旨在提供案例活动的一目了然的见解,帮助用户有效地监控和评估其 Nebula 环境的安全状况。通过呈现简明而相关的数据,概述选项卡可作为了解趋势、确定关注领域和确定行动优先级的起点。

此选项卡对于快速了解您环境中的恶意活动特别有用。它支持特定时间的过滤,允许用户将显示信息的范围缩小到特定时期。此功能使在选定的时间范围内分析趋势或调查事件变得更加容易。

 “概览”选项卡上有以下小部件,每个小部件都有特定的用途:

  1. 按阶段分类的案例:此小部件通过根据事件响应生命周期中的当前阶段对案例进行分类,提供案例活动的总体概览。这有助于用户跟踪案例进度,例如它们是新开立的、正在调查的还是已解决的。
  2. 按优先级分类的案例:此小部件显示按优先级分组的未结案例数量。突出显示每个案例的紧急程度,使用户可以快速识别可能需要立即关注的高优先级案例,确保及时解决关键问题。
  3. 主要结案原因:此小部件识别分析师确定的结案最常见原因。总结这些趋势可以提供有关推动案例解决的反复因素的宝贵见解,帮助团队优化响应策略并改善未来结果。

案例

托管服务页面上的案例选项卡显示未结案例及其详细信息的列表。以下信息可在案例选项卡上找到:

  • 警报:与案例相关的检测数量。
  • 指定分析师:分配给案例的分析师。
  • 案例名称:检测 (DE) 或可疑活动 (SA),后跟检测的端点名称和路径。
  • 结案原因:分析师结案的原因。 结案时已结案。
  • 创建时间:案件开庭时间。
  • 端点:带有警报的设备名称。
  • ID:案件的 ID 号。
  • 优先级:案件的紧急程度。
  • 阶段:案件的当前阶段。
  • 状态:案件已开庭或结案。
  • 更新时间:上次更新案件的时间。

如何查看案例详情

要查看任何 MTH 案例的详情,请单击 ID 列中的 ID 号。这将在新抽屉中生成以下信息:

  • 通信和历史记录

案例详情滑出中的“通信和历史记录”选项卡提供了全面的案例活动记录。这包括分析师之间的通信、详细的补救说明以及调查期间采取的行动日志。 要优化显示的信息,您可以使用图标过滤特定事件,例如评论、状态更新或其他关键更改,确保快速访问最相关的详细信息。

  • 警报和工件

单个案例可能包含多个警报,通常代表在同一​​端点上发生的多个相互关联的恶意活动。这些警报被分组在一起以简化分析并增强上下文。警报和工件选项卡允许您查看案例的相关警报和相关项目。为了进行更深入的调查,每个警报旁边的转到检测按钮可直接访问与该案例相关的特定检测或可疑活动。

如何设置 MTH 以优化对端点的保护

MTH 需要 EDR 的特定设置才能成功运行。这些设置位于 Endpoint Protection 策略设置中。要访问此功能,请导航到 Admin Settings(管理员设置 ),然后选择 Device Management(设备管理)下的 Policies(策略)。如果您已创建策略,则可以编辑此策略;否则,您可以通过从策略下拉列表中选择 Endpoint Protection 来创建新策略。请确保在适当的操作系统下激活以下设置:

  1. 可疑活动监控
  2. 服务器操作系统监控
  3. 隔离时锁定端点
  4. 勒索软件回滚

5. 可疑活动监控

6. 隔离时锁定端点

如何确保高效的通知

设置所有必要的通知对于确保您和您的团队对潜在威胁保持警惕非常重要。以下信息与专门用于 托管威胁搜索 的通知有关。

注意: 通知在 ThreatDown 的 Nebula 控制台中进行管理。

创建新通知时,请选择“托管服务活动”。  

建议添加一些有关何时发送通知的条件。这可确保您的管理员不会因不需要他们注意的消息而负担过重。

选择下面的每个 空白处选项以查看其可用值:

等于

  • 全部
  • 已创建案例
  • 案例更新
  • 结案

等于

  • 全部
  • 紧急
  • 高等
  • 中等
  • 低等

等于

在下一部分中,选择通知的发送方式。除了电子邮件之外,您还可以选择通过 Slack/Microsoft Teams、WebhookThreatDown Admin 应用程序接收通知。

在最后一步中,可以激活聚合,从而减少收到的通知并允许更多关注。这会根据您选择的间隔和分组选项,以及之前选择的活动类型、条件和投放方法,将多个警报合并到单个通知中。

选择 完成 在右下角保存新通知。