SecureX 威脅響應生態系統
借助SecureX,您可以通過無縫集成SecureX威脅響應和您現有的安全技術來加速威脅搜尋和事件響應。無論是內置,預打包或自定義的集成,您都可以靈活地將您的工具組合在一起。如果您有Cisco Stealthwatch,Firepower,AMP for Endpoints, Umbrella,電子郵件安全,Web安全或威脅網格;您的許可證中包含SecureX威脅響應,無需任何額外費用。
- 連接您的整個安全堆棧-思科或其他方式-進行更快的調查
- 在一個視圖中聚合和關聯多種技術的安全上下文
- 充分利用您現有的安全投資,包括從我們的技術合作伙伴那里獲得的投資
該 SecureX 平臺有三類整合的:
- 內置集成由思科或特定技術合作伙伴開發,供客戶即時配置。這些通常是SecureX威脅響應產生威脅情報以在合作伙伴的用戶界面中可視化的集成。盡管也有一些例外,例如VirusTotal或合作伙伴將威脅響應API構建到其核心代碼中。
- 思科或技術合作伙伴開發了預打包的集成,供客戶使用他們安裝到他們維護的云基礎架構中的現成腳本。由于您無需學習任何API或編寫任何代碼,因此所花費的時間得以最小化。這些通常是SecureX威脅響應模塊,可產生要在SecureX中可視化的威脅情報。這些是SecureX中可用的模塊。
- 客戶可以利用思科和技術合作伙伴的開放API創建自定義集成。通過使用我們在DevNet上的資源快速入門,可以減少集成時間,包括培訓,GitHub上的代碼鏈接以及ReadtheDocs上的大量用例和工作流文檔。
內置集成
VirusTotal是一項免費服務,可使用70多種防病毒(AV)掃描程序和URL /域阻止列表服務檢查項目。該威脅響應VirusTotal模塊,使您可以查詢的URL,IP地址,域名或文件哈希,在事件響應過程中,從AV掃描儀和服務,并與樣本有關的威脅獲得額外的上下文。您可以注冊一個免費的VirusTotal帳戶并獲得一個API密鑰。威脅響應代表您使用API??密鑰將VirusTotal查詢結果包括在任何調查中。
該威脅響應擴展提供的功能,以從QRadar的IP地址右鍵轉動到超過100 +屬性字段類型和查詢的判決威脅回應威脅響應控制臺和懸停調查。
Polarity Data Awareness
該威脅響應集成允許極性的威脅響應富民API搜索到有關各種指標類型的返回信息。
ServiceNow Security Operations
ServiceNow安全操作可以利用威脅響應提供的“判決,引用和響應”功能來協助安全分析人員進行調查工作。這使分析人員可以從ServiceNow內部采取響應措施來補救威脅。
Splunk Enterprise Security
SecureX Threat Response Add-On 提供了一個自定義搜索命令,允許用戶從Splunk實例中的可觀察對象中查詢目標和判定的威脅響應。
Phantom threat response plug使用戶或自動化的劇本/動作能夠啟動對威脅響應的查詢,以針對可觀察到的并在表中呈現的判決或目擊事件。
Swimlane Security Operations Management
Swimlane threat response plugin 允許連接到Threat Response API,以提取和豐富可觀察對象。
TheHive Project* – Cortex Analyzers**
該 threat response analyzer 所連接到TheHive,一個可擴展的,開源和免費的安全事件應急平臺,與MISP(惡意軟件信息共享平臺),旨在使生活更輕松的SOC,CSIRT的,證書及任何信息安全從業者處理安全緊密集成需要調查并迅速采取行動的事件。
Pre-packaged integrations
要利用預打包的集成,您必須首先部署云基礎架構以實現無威脅響應無服務器中繼API。官方安裝指南并錄制了教程,以使其變得更容易并在GitHub上進行代碼,該代碼已為AWS Lamba預先配置。API本身只是一個簡單的Flask(WSGI)應用程序,可以使用Zappa輕松打包和部署為AWS Lambda函數,并在AWS API Gateway代理后面工作。可以使用Threat Response Relay CLI將已經部署的Relay API(例如,打包為AWS Lambda函數)作為Relay Module推送到威脅響應。Pip安裝中提供了威脅響應python API模塊。
Threat response module,用于調查IP和URL。AbuseIPDB支持IP和IPv6。API限制:1000個/天。返回的實體:判決,判斷,瞄準,指示符。
Threat Response module,用于查詢AlienVault OTX的可觀察對象(IP,IPV6,域,哈希值),并從AlienVault中的“脈沖”返回瞄準和指示器。通過引用操作樞轉到AlienVault OTX UI。
Threat Response module,用于調查IP或域,并從APIVoid阻止列表聚合接收Sightings響應。
Threat Response module,用于調查IP。查詢Auth0信號以獲取IP地址,以查找該IP地址是否在任何阻止列表中。根據提供的評分返回IP的判決。從100多個經過整理和標準化的阻止列表中返回開放源情報(OSINT)上下文。
C1fApp *
SecureX威脅響應模塊,用于調查IP地址。SecureX從C1fApp收到Verdict響應。可觀察到的惡意裁決可在阻止列表中找到,指示符是在其上看到的摘要。
Threat response module,用于調查IP和URL的判決,并接收Cyber??tracker判決和判決。
Threat response module,用于調查IP,域,哈希和文件名。返回的實體:判決和判決。
該 Farsight Security SecureX threat response module允許用戶發起對IP地址和域名的判決進行調查。Farsight Security DNSDB提供有關IP地址(IP和IPv6)和域的豐富數據。認證為 Cisco Compatible。
該Gigamon ThreatINSIGHT模塊能夠威脅響應網絡查詢和威脅數據從Gigamon情報觀測的蹤跡。Gigamon完成了集成的思科兼容認證,并發布了聯合解決方案簡介。
在 Google Chronicle threat response module 能夠查詢在SIEM內觀測的瞄準(IP,域名,哈希,文件名,文件路徑)。另外,列出資產,獲取IOC詳細信息,列出時間范圍內的警報以及列出時間范圍內的IOC。
Threat response module,用于集成Google安全瀏覽;Google提供的一項黑名單服務,其中提供了包含惡意軟件或網絡釣魚內容的網絡資源的網址列表。Google Chrome,Safari,Firefox,Vivaldi和GNOME Web瀏覽器使用Google安全瀏覽服務中的列表來檢查網頁是否存在潛在威脅,并且這種集成使用戶能夠在威脅響應中擁有黑名單情報。
威脅響應模塊,用于調查SHA256。該模塊在受損的電子郵件和與該電子郵件相關聯的用戶名周圍添加上下文,并在環境中添加有關用戶的上下文。如果啟用了思科電子郵件安全設備模塊,則返回此SHA256已發送到已標識的電子郵件地址,如數據泄露所示。每月小額訂閱。
在微軟圖形安全模塊查詢的內圖安全警報的觀測值(IP,域名,哈希,文件名,文件路徑)的蹤跡。威脅響應可以標準化格式訪問大量以Microsoft為中心的數據以及來自第三方的數據。
威脅響應模塊,用于調查URL。返回判決。
威脅響應的Quays指示威脅模塊用于調查目標上支持的可觀察物的瞄準。支持磁盤上的文件映像,正在運行的進程的磁盤上映像以及已加載模塊的磁盤上的映像的哈希值(MD5,SHA256)。同樣,文件名(進程名),IP,域,文件路徑和Mutex。
Radware* WAF和DDoS*
用于WAF和DDoS濫用活動的IP地址調查的SecureX威脅響應模塊,以及這些目擊者的指示器。認證為思科兼容。
使用此模塊查詢SecurityTrail,以獲取有關域和IP地址(IP和IPv6)的豐富數據。轉到“安全線索” UI,以搜索域和IP地址(IP和IPv6)。
當分析師在Threat Response UI中或通過API開始調查時,Threat Response中的ServiceNow模塊使ServiceNow成為數據源。這使分析人員可以查詢ServiceNow以獲取涉及涉及給定可觀察性的先前事件的歷史背景。
IP地址上的SecureX威脅響應“ 數據透視/響應”菜單。Shodan是用于Internet連接設備的搜索引擎。Web搜索引擎(例如Google和Bing)非常適合查找網站。
Signal Sciences是一家領先的Web應用程序安全公司,提供下一代Web應用程序防火墻(WAF)和運行時應用程序自我保護(RASP)解決方案。通過Signal Sciences開發的威脅響應集成,您的安全運營團隊將對所有Web應用程序工作負載的攻擊具有即時可見性。借助該集成,您可以立即采取行動。認證為思科兼容。
該 SecureX threat response SpyCloud module 使用戶能夠啟動調查一個SHA256。該模塊在受損的電子郵件和與該電子郵件相關聯的用戶名周圍添加上下文,并在環境中添加有關用戶的上下文。如果啟用了思科電子郵件安全模塊,則它將返回此SHA256已發送到例如數據泄露中已發現的這些電子郵件地址。
ThreatQuotient Security Operations Platform
ThreatQuotient定期將可觀察對象的判斷和判定發布到Cisco Threat Intelligence API,以進行威脅響應的可視化。此外,ThreatQ使用威脅響應作為威脅情報的豐富資源。
urlscan.io* **
SecureX threat response module,用于將URL提交到urlscan.io中以獲取威脅情報上下文。
