クリア

脅威フィード

Default Serverの有効化/無効化

Default Serverとは?

EventLog Analyzerは、FireholPhishTankThreatFoxAlienVault OTXCywareなどの様々なSTIX/TAXIIベースの脅威フィードから脅威情報を毎日収集します。脅威情報(悪意のあるIPアドレス、URL、ドメイン名)は、ManageEngineのクラウドサーバーで処理され、保存されます。EventLog Analyzerは、クラウドサービスに安全に接続し、脅威フィードを毎日ダウンロードします。この情報を使用して、悪意のあるソースが企業ネットワークとやり取りをすると、アラートを発報します。

Default Serverを有効化/無効化する方法

  1. [設定]タブ → [管理者権限] → [脅威フィード] → [STIX/TAXIIの脅威フィード]タブに移動します。
  2. [アクション]列配下の有効化/無効化アイコンをクリックします。
    default-threat-server.png

注記:Default Serverを編集または削除することはできません。

高度な脅威分析(Advanced Threat Analytics)が有効になっている場合、より大規模でより正確な脅威データセットを高度な脅威分析が保持するため、Default Serverはデフォルトで無効化されます。Default Serverは必要に応じて再度有効化することが可能です。Default Serverが有効化されており、特定の脅威ソースが高度な脅威分析によって検出されていない場合、EventLog AnalyzerはDefault Serverの脅威データベースを確認し、それに応じて脅威ソースにフラグを付けます。


新規STIX/TAXIIサーバーの追加方法

  1. [設定]タブ → [管理者権限] → [脅威フィード] → [STIX/TAXIIの脅威フィード]タブに移動します。
  2. 画面右上の[+新しいサーバーの追加]をクリックします。
    threat-management-dashboard.png
  3. [サーバーを追加]画面にて、以下を入力します。
    • カスタムSTIX/TAXIIサーバーの場合は、表示名URLユーザー名パスワードを入力し、サーバーのSTIX/TAXIIバージョンを選択します。
      add-server-window-1.png
      add-server-window-2.png
    • クイックデプロイサーバーの場合は、ドロップダウンからSTIX/TAXIIサーバーを選択し、対応するサーバーに必要な資格情報(ユーザー名またはAPIキーまたはクライアントIDパスワードまたは秘密キー)を入力します。クイックデプロイサーバーの場合、URLと表示名は両方ともEventLog Analyzerによって自動的に割り当てられます。
      add-server-window-3.png
  4. [ポーリング元]にて、フィード収集の開始日を設定します。
  5. [スケジュール]にて、追加するTAXIIサーバーからフィードを取得する頻度と時間を設定します。
  6. [サーバーを追加]をクリックします。

TAXIIサーバーの編集方法

  1. [設定]タブ → [管理者権限] → [脅威フィード] → [STIX/TAXIIの脅威フィード]タブに移動します。
  2. 対象サーバーの[編集](鉛筆)アイコンをクリックします。
    threat-management-dashboard.png
  3. スケジュール頻度の変更など、設定内容の変更を行います。
    threat-management-delete.png
  4. [サーバーを更新]をクリックします。

TAXIIサーバーの削除方法

  1. [設定]タブ → [管理者権限] → [脅威フィード] → [STIX/TAXIIの脅威フィード]タブに移動します。
  2. 対象サーバーの[削除](ゴミ箱)アイコンをクリックします。
    threat-management-dashboard.png
  3. 表示される確認ボックスにて、[はい]をクリックします。

TAXIIサーバーフィードの管理方法

  1. [設定]タブ → [管理者権限] → [脅威フィード] → [STIX/TAXIIの脅威フィード]タブに移動します。
  2. [フィード管理]列のリンク(数字)をクリックします。
    threat-management-dashboard.png
  3. [アクション]列の有効化/無効化アイコンをクリックして、対象フィードからのポーリングを有効化/無効化できます。確認画面が表示されるので、[はい]をクリックします。
  4. [今すぐポーリングする]をクリックすることで、フィードを取得できます(Default Serverに対しては不可)。
    poll-threat-feed.png

クイックデプロイSTIX/TAXIIサーバー

クイックデプロイSTIX/TAXII脅威インテリジェンスフィードをEventLog Analyzerと統合する方法は、こちらの手順をご確認ください。設定に必要な資格情報を取得する方法の詳細は、各ベンダーに直接お問い合わせください。

AlienVault OTX

AlienVault OTX APIの詳細は、こちらのページをご参照ください。APIキーを受け取るには、サインアップしてください。

Cyware Threat Intelligence

CywareThreatIntelFeedsの詳細は、こちらのページをご参照ください。APIキーを受け取るには、サインアップしてください。

IBM X-Force

IBM X-Force Integrationの詳細は、こちらのページをご参照ください。購入に関しては、こちらのページをご参照ください。

Kaspersky Threat Intelligence

Kaspersky Threat Feedsの詳細は、こちらのページをご参照ください。購入に関しては、こちらのページをご参照ください。

PulseDive Threat Intelligence

PulseDiveの詳細は、こちらのページをご参照ください。購入に関しては、こちらのページをご参照ください。

Sectrio Threat Intelligence

Sectrioの詳細は、こちらのページをご参照ください。購入に関しては、こちらのページをご参照ください。

SecAlliance- ThreatMatch Intelligence

ThreatMatchの詳細は、こちらのページをご参照ください。購入に関しては、こちらのページをご参照ください。


EventLog AnalyzerがサポートするクイックデプロイサーバーのSTIX/TAXIIバージョン

番号 サーバー名 STIX/TAXII バージョン
1 AlienVault OTX 1.x
2 Cyware Threat Intelligence 2.1
3 IBM X-Force 2.0
4 Kaspersky Threat Intelligence 2.1
5 Pulsedive Threat Intelligence 2.1
6 Sectrio Threat Intelligence 2.1
7 SecAlliance-ThreatMatch Intelligence 2.1
       概要