AlienVault-OTX及OTX Endpoint Security使用及介绍

AlienVault公司的业务主要针对中小型企业提供统一安全管理平台(USM)、开放式威胁情报交换平台（OTX）等网络安全产品，AlienVault开放威胁交换(OTX)是全球权威的开放威胁信息共享和分析网络。OTX提供了一个由威胁研究人员和安全专业人员组成的全球社区，有来自140个国家的5万多名参与者，每天贡献400多万个威胁指标。

AlienVault还提供了一个由OTX免费的全球威胁仪表盘，可以在https://www.alienvault.com/open-threat-exchange/dashboard#/threat /top获得，该仪表盘展示了来自OTX社区的一些威胁数据。接下来介绍个人对OTX的使用：

一、使用电子邮件地址创建OTX帐户（如下图，可以选择使用google或Twitter账号）

1.访问https://otx.alienvault.com。

2.在主页的右上角，点击注册。填写出现的表单，输入以下数据：

a.Username；

b.电子邮件地址；

c.您选择的密码；

3.收到邮件后，单击带您到OTX确认页面的链接，然后单击Confirm。这将把您带到OTX主页(https://otx.alienvault.com/dashboard/new/)，在那里您将看到所有当前的脉冲活动；

二、登录及使用

登录可使用上面创建的账号进行登录，也可使用已经有的Google或Twitter账号，登陆后可看到最新推送的内容，分别是PULSES、ACTIVITY、SUGGESTED EDITS，你关注的内容，你的动态和参与编辑的内容。

可以通过编辑左侧的group增加你的群组、关注群组。

通过右上角setting和profile来设置个人喜好内容：

三、查看图表

可以从仪表盘界面查看当前威胁情况、统计分类、最新推送信息、安全新闻等，注：有些内容无法查看，由于国家法规，不建议访问外国网站使用，哈哈哈哈~~~

还可以通过搜索来查找比较感兴趣的威胁内容：

四、浏览详细内容和其他操作

右上角操作对应home的编辑、关注、群组、下载克隆等。

五、着重介绍

使用OTX的社区支持的威胁情报来扫描端点，寻找已知的折衷指标(IOCs)。

OTX端点安全使用与昂贵的端点安全工具和DIY开源代理相同的基于代理的方法，它具有免费、简单、可靠的特性。

1.首先，下载并安装AlienVault代理到您想要监控的Windows或Linux设备上。本文以windows为例。注意：windows使用powershell方式安装，支持3.0以上版本。

2.powershell运行安装脚本，发现报错。

3.使用管理员运行脚本，并执行set-ExecutionPolicy RemoteSigned开启脚本执行策略。

4.执行成功后，可在账户页面看到终端信息。

5.执行扫描，可选择多种扫描方式，包括基于可选pulse的、yara策略的、基于所有策略等、基于订阅更新的等，我们先选择所有策略运行，可通过history查看扫描记录和风险内容。

结束语

AlienVault的特工准备好寻找威胁，通过选择在一个或多个OTX中查找IOCs的预定义查询，可以在OTX的任何端点上启动查询。一旦启动，AlienVault代理将执行查询，查询结果将显示在OTX中的摘要页面上。

注意：在OTX中，没有一种机制可以持续或自动监控端点上出现的威胁。您必须手动启动每个扫描任务。

*本文作者：破天·张坤，转载请注明来自FreeBuf.COM