บทนำ
Threat Intelligence เป็นส่วนสำคัญในการเสริมความสามารถในการตรวจจับภัยคุกคามของ Athena NDR โดยเชื่อมต่อกับฐานข้อมูลของ Sangfor Security Center (Neural-X) และรองรับการนำเข้า Custom Intelligence (IOC) ของลูกค้า บทความนี้อธิบายวิธี configure Threat Intelligence รวมถึงการเข้าถึงฐานข้อมูลภัยคุกคามกลางของ Sangfor
ข้อกำหนดเบื้องต้น
- Athena NDR v3.0.98 ขึ้นไป
- License พื้นฐานและ Security Database License อยู่ในสถานะ Licensed
- Athena NDR สามารถเข้าถึงอินเทอร์เน็ตหรือ update server ของ Sangfor (update1.sangfor.net ถึง update4.sangfor.net)
- บัญชี Administrator
การเปิดใช้ Threat Intelligence Engine
- เลื่อนเมาส์ไปที่ไอคอนผู้ใช้มุมขวาบน เลือก System
- ไปที่ System > Security Capabilities > Detection Engines
- เลือก Threat Intelligence Engine ตรวจสอบว่าสถานะเป็น Enabled และดูจำนวนกฎที่ Active
- หากต้องการปรับกฎรายตัว คลิกไอคอน Edit ที่ Operation column เพื่อเปิด/ปิดกฎหรือเปลี่ยน severity
การอัปเดตฐานข้อมูล Threat Intelligence
- ไปที่ System > Update > Security Databases
- ตรวจดูวันที่ของ Security Database ล่าสุด หากเก่าให้คลิก Update หรือใช้ Manual Update เพื่อ import package จากไฟล์
- ตรวจสอบ Update Options ที่ System > Update > Update Options ว่ามี proxy ที่ถูกต้อง หากเครือข่ายต้องผ่าน HTTP proxy
การเพิ่ม Custom Intelligence (IOC)
- ไปที่ System > Security Capabilities > Detection Engines
- คลิก New แล้วเลือก Custom Intelligence
- กรอกข้อมูลในหน้า Rule Details
- Status: Enabled
- Security Alert: เลือก Enabled เพื่อสร้าง Security Alert เมื่อ match
- Security Incident: เลือก Enabled เพื่อสร้าง Security Incident
- Intelligence Type: เลือกประเภท เช่น IP, Domain, URL, File Hash
- Intelligence Indicator: คลิก Import File เพื่อ import ไฟล์ .txt (รองรับสูงสุด 50,000 IOC)
- Threat Type: เลือกประเภทภัยคุกคาม
- Severity: High, Medium หรือ Low
- Intelligence Source: ระบุที่มา
- คลิก OK เพื่อบันทึก ระบบจะเริ่มใช้ IOC ในการตรวจจับทันที
การเข้าถึงฐานข้อมูลภัยคุกคามของ Sangfor
- Threat Intelligence ของ Sangfor Security Center รวบรวม security events แบบ real-time พร้อมคำแนะนำในการแก้ไข
- เข้าถึงได้ที่ https://sec.sangfor.com.cn/wiki-safe-events?lang=EN-US
- จากภายใน Athena NDR console สามารถคลิก Threat Name ใน Security Alert / Incident เพื่อเปิดข้อมูลจาก Sangfor Security Center ได้โดยตรง
หมายเหตุ
- การ import Custom Intelligence ในจำนวนมากอาจใช้เวลาในการ index ไม่กี่นาที
- หาก Threat Intelligence Engine ถูกปิด ระบบจะไม่สร้าง alert จากกฎที่อยู่ใน engine นี้ แม้ว่า signature database จะอัปเดต
- แนะนำให้เปิดใช้ฟีเจอร์ Escalate All Alerts เฉพาะในสภาพแวดล้อมที่ต้องการความไวสูง เนื่องจากจะสร้าง Security Incident จากทุก alert ที่ trigger
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น