AT&T AlienVault集成指南
AT&T AlienVault是一个综合性平台,提供预防性保护、入侵后检测、自动化调查及响应能力。该系统具备先进的端点检测与响应(EDR)功能,支持Windows、Linux和MacOS等传统操作系统。
上述功能可提供近乎实时的攻击检测并支持快速响应。通过运用有效的安全分析技术,分析人员能高效划分警报优先级,从而全面掌握入侵态势,并采取恰当的响应措施以消除潜在威胁。
关于AT&T AlienVault与 移动安全 控制台通信
控制台已配置为支持通过API接口与AT&T AlienVault共享警报信息。
当设备向 移动安全 控制台上报威胁时,若威胁严重程度达到或超过配置过程中设定的最低阈值,已配置接收此类信息的AT&T AlienVault集成将收到威胁详情通知。
默认情况下,控制台仅向AT&T AlienVault发送严重级别威胁。威胁详情通常包含(如可获取)用户信息、设备信息、操作系统及威胁取证数据。
配置步骤
请执行以下步骤设置 移动安全 控制台集成:
-
登录 移动安全 控制台。
-
在导航面板中选择 管理 .
-
当 管理 页面打开后,选择 集成 选项卡,再选择 威胁报告 选项卡,随后将打开以下窗口:
-
点击绿色 添加集成 按钮,将打开显示可选集成合作伙伴列表的窗口。
-
选择所需集成。
-
在打开的窗口中填写必填信息并点击 继续 按钮。
-
另一个窗口将打开以完成集成设置。请在此窗口输入以下信息。
-
名称 - 为Microsoft Azure Sentinel环境中的此集成输入唯一名称
-
过滤级别 - 从下拉菜单中选择要报告的严重级别:
-
严重 - 仅显示严重级别。
-
高及以上 - 显示高和严重级别
-
低及以上 - 显示低、高和严重级别
-
普通及以上 - 显示所有严重级别
-
-
-
点击 完成 按钮,当配置并正确保存后,主威胁报告窗口将打开,显示集成成功。