AT&T AlienVault集成指南
AT&T AlienVault是一个综合性平台,提供预防性保护、入侵后检测、自动化调查和响应能力。该系统具备先进的终端检测与响应(EDR)功能,支持Windows、Linux和MacOS等传统操作系统。
上述功能可实现近乎实时的攻击检测,并能立即采取行动。通过运用有效的安全分析技术,分析人员能高效地对告警进行优先级排序。这提升了对整体入侵行为的可视性,使分析人员能采取恰当的响应措施以消除潜在威胁。
关于AT&T AlienVault与 移动安全 控制台通信
控制台已配置为支持通过API接口与AT&T AlienVault共享告警信息。
当设备向 移动安全 控制台报告威胁时,若威胁严重性达到或超过设置过程中确立的最低阈值,配置用于接收此类信息的AT&T AlienVault集成将收到威胁详情通知。
默认情况下,控制台仅配置为向AT&T AlienVault发送严重级别威胁。威胁详情通常包含(如可获取)用户信息、设备信息、操作系统及威胁取证数据。
配置步骤
执行以下步骤以设置 移动安全 控制台集成:
-
登录 移动安全 控制台。
-
在导航面板中选择 管理 .
-
当 管理 页面打开后,选择 集成 标签页,点击 威胁报告 标签页,将打开以下窗口:
-
点击绿色 添加集成 按钮,随后打开的窗口将显示可选集成合作伙伴列表。
-
选择所需集成。
-
在打开的窗口中填写必填信息并点击 继续 按钮。
-
另一窗口将打开以完成集成设置。请在该窗口输入以下信息:
-
名称 - 为Microsoft Azure Sentinel环境中的此集成输入唯一名称
-
筛选级别 - 从下拉菜单中选择需上报的严重性等级:
-
严重 - 仅显示严重级别。
-
高及更高 - 显示高和严重级别
-
低及更高 - 显示低、高和严重级别
-
普通及更高 - 显示所有严重性级别
-
-
-
点击 完成 按钮,配置正确保存后,主威胁报告窗口将打开显示集成成功。