AlienVault-OTX及OTX Endpoint Security使用及介绍

AlienVault公司的业务主要针对中小型企业提供统一安全管理平台(USM)、开放式威胁情报交换平台(OTX)等网络安全产品,AlienVault开放威胁交换(OTX)是全球权威的开放威胁信息共享和分析网络。OTX提供了一个由威胁研究人员和安全专业人员组成的全球社区,有来自140个国家的5万多名参与者,每天贡献400多万个威胁指标。

AlienVault还提供了一个由OTX免费的全球威胁仪表盘,可以在https://www.alienvault.com/open-threat-exchange/dashboard#/threat /top获得,该仪表盘展示了来自OTX社区的一些威胁数据。接下来介绍个人对OTX的使用:

一、使用电子邮件地址创建OTX帐户(如下图,可以选择使用google或Twitter账号)

1.访问https://otx.alienvault.com。

2.在主页的右上角,点击注册。填写出现的表单,输入以下数据:

a.Username;

b.电子邮件地址;

c.您选择的密码;

3.收到邮件后,单击带您到OTX确认页面的链接,然后单击Confirm。这将把您带到OTX主页(https://otx.alienvault.com/dashboard/new/),在那里您将看到所有当前的脉冲活动;

二、登录及使用

登录可使用上面创建的账号进行登录,也可使用已经有的Google或Twitter账号,登陆后可看到最新推送的内容,分别是PULSES、ACTIVITY、SUGGESTED EDITS,你关注的内容,你的动态和参与编辑的内容。

可以通过编辑左侧的group增加你的群组、关注群组。

通过右上角setting和profile来设置个人喜好内容:

三、查看图表

可以从仪表盘界面查看当前威胁情况、统计分类、最新推送信息、安全新闻等,注:有些内容无法查看,由于国家法规,不建议翻墙使用,哈哈哈哈~~~

还可以通过搜索来查找比较感兴趣的威胁内容:

四、浏览详细内容和其他操作

右上角操作对应home的编辑、关注、群组、下载克隆等。

五、着重介绍

使用OTX的社区支持的威胁情报来扫描端点,寻找已知的折衷指标(IOCs)。

OTX端点安全使用与昂贵的端点安全工具和DIY开源代理相同的基于代理的方法,它具有免费、简单、可靠的特性。

1.首先,下载并安装AlienVault代理到您想要监控的Windows或Linux设备上。本文以windows为例。注意:windows使用powershell方式安装,支持3.0以上版本。

2.powershell运行安装脚本,发现报错。

3.使用管理员运行脚本,并执行set-ExecutionPolicy RemoteSigned开启脚本执行策略。

4.执行成功后,可在账户页面看到终端信息。

5.执行扫描,可选择多种扫描方式,包括基于可选pulse的、yara策略的、基于所有策略等、基于订阅更新的等,我们先选择所有策略运行,可通过history查看扫描记录和风险内容。

结束语

AlienVault的特工准备好寻找威胁,通过选择在一个或多个OTX中查找IOCs的预定义查询,可以在OTX的任何端点上启动查询。一旦启动,AlienVault代理将执行查询,查询结果将显示在OTX中的摘要页面上。

注意:在OTX中,没有一种机制可以持续或自动监控端点上出现的威胁。您必须手动启动每个扫描任务。

*本文作者:破天·张坤,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2019-02-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区