AlienVault-OTX及OTX Endpoint Security使用及介紹
AlienVault公司的業務主要針對中小型企業提供統一安全管理平臺(USM)、開放式威脅情報交換平臺(OTX)等網路安全產品,AlienVault開放威脅交換(OTX)是全球權威的開放威脅資訊共享和分析網路。OTX提供了一個由威脅研究人員和安全專業人員組成的全球社群,有來自140個國家的5萬多名參與者,每天貢獻400多萬個威脅指標。
AlienVault還提供了一個由OTX免費的全球威脅儀表盤,可以在 https://www.alienvault.com/open-threat-exchange/dashboard#/threat /top獲得,該儀表盤展示了來自OTX社群的一些威脅資料。接下來介紹個人對OTX的使用:
一、使用電子郵件地址建立OTX帳戶(如下圖,可以選擇使用google或Twitter賬號)
1.訪問 https://otx.alienvault.com 。
2.在主頁的右上角,點選註冊。填寫出現的表單,輸入以下資料:
a.Username;
b.電子郵件地址;
c.您選擇的密碼;
3.收到郵件後,單擊帶您到OTX確認頁面的連結,然後單擊Confirm。這將把您帶到OTX主頁( https://otx.alienvault.com/dashboard/new/ ),在那裡您將看到所有當前的脈衝活動;
二、登入及使用
登入可使用上面建立的賬號進行登入,也可使用已經有的Google或Twitter賬號,登陸後可看到最新推送的內容,分別是PULSES、ACTIVITY、SUGGESTED EDITS,你關注的內容,你的動態和參與編輯的內容。
可以通過編輯左側的group增加你的群組、關注群組。
通過右上角setting和profile來設定個人喜好內容:
三、檢視圖表
可以從儀表盤介面檢視當前威脅情況、統計分類、最新推送資訊、安全新聞等,注:有些內容無法檢視,由於國家法規,不建議翻牆使用,哈哈哈哈~~~
還可以通過搜尋來查詢比較感興趣的威脅內容:
四、瀏覽詳細內容和其他操作
右上角操作對應home的編輯、關注、群組、下載克隆等。
五、著重介紹
使用OTX的社群支援的威脅情報來掃描端點,尋找已知的折衷指標(IOCs)。
OTX端點安全使用與昂貴的端點安全工具和DIY開源代理相同的基於代理的方法,它具有免費、簡單、可靠的特性。
1.首先,下載並安裝AlienVault代理到您想要監控的Windows或Linux裝置上。本文以windows為例。注意:windows使用powershell方式安裝,支援3.0以上版本。
2.powershell執行安裝指令碼,發現報錯。
3.使用管理員執行指令碼,並執行set-ExecutionPolicy RemoteSigned開啟指令碼執行策略。
4.執行成功後,可在賬戶頁面看到終端資訊。
5.執行掃描,可選擇多種掃描方式,包括基於可選pulse的、yara策略的、基於所有策略等、基於訂閱更新的等,我們先選擇所有策略執行,可通過history檢視掃描記錄和風險內容。
結束語
AlienVault的特工準備好尋找威脅,通過選擇在一個或多個OTX中查詢IOCs的預定義查詢,可以在OTX的任何端點上啟動查詢。一旦啟動,AlienVault代理將執行查詢,查詢結果將顯示在OTX中的摘要頁面上。
注意:在OTX中,沒有一種機制可以持續或自動監控端點上出現的威脅。您必須手動啟動每個掃描任務。
*本文作者:破天·張坤,轉載請註明來自FreeBuf.COM