Panabit情报集成APP使用说明
Panabit情报集成APP使用说明一、 情报数据导入1、 登录Panabit,点击“应用商店”,选择安装或升级APP文件:2、 在“我的应用”中点击“威胁情报IOC同步”APP,选择获取情报集合类型,如下:l默认集合默认集合:指适合于Panabit使用的推荐威胁情报IOCs数据,包括:数字货币、C&C节点、僵尸网络、恶意软件、恶意软件下载链接、Tor节点、Proxy代理。选择“默认集合”后,填写销售提供的License码(注意,一个License码只能在一台设备上使用),点击“确定”后即可开始同步情报数据,如图所示:l自定义集合自定义集合:指根据实际使用场景所订阅的威胁情报IOCs数据。选择“自定义集合”后,填写情报同步Token(此Token在RedQueen上通过订阅情报卡片建立情报集合后创建),点击“确定”按钮后开始同步情报数据,如图所示:情报数据同步完成后,会在“同步状态”中显示同步完成,以及本次同步的更新数据。如需定期导入,则根据提示输入每天定期导入的时间(如:08:30),并开启定时导入功能。如不填写,则默认每24小时自动同步一次情报数据。附:自定义集合数据申请及Token创建流程1. 注册账号登录https://redqueen.tj-un.com/,注册账号:2. 申请开通情报数据卡片联系天际友盟销售开通建议集合或情报卡片,申请时需要提供:ü注册的RedQueen账号(邮箱)ü需要开通的建议集合或具体的卡片类型(注:测试阶段申请数据有效期一般为30天)3. 创建数据集合卡片开通后,登录RedQueen创建情报数据集合:1) 点击“订阅”模块-创建集合,选择需要的卡片进行集合订阅:2) 填写集合名称,选择所需要的卡片数据,点击“订阅”,保存集合:3) 返回“我的集合”列表查看所订阅的集合:4. 创建Token订阅模块点击“创建集合”,选择集合,填写相关信息,确认后生成Token:(注:建议一台设备创建一个Token)二、 情报数据查看情报IOCs数据导入Panabit后,APP根据IOCs的威胁类型、流量方向及信誉值范围将同步到本地情报IOCs数据自动分成不同的【IP群组】或【域名群组】。可在Panabit的“对象管理”菜单下的“域名群组”和“IP群组”中查看具体IOCs组(群组名称组成为“TJ_情报分类_方向_严重级别”,如:“TJ_数字货币_上行_H”),如图:【严重度说明】:H:高严重度,建议执行“阻断”策略M:中严重度,建议执行“告警”策略L:低严重度,建议执行“提示”策略
附:情报数据应用根据IP组/域名组进行流量控制l恶意IP管控针对情报IOCs中的IP,可根据群组名称建议在Panabit上设置对应的响应策略,步骤如下:1. 进入“流量控制”-添加策略2. 根据IOCs的IP群组名称提示设置对应的策略内容【示例】如下:针对“TJ_数字货币_上行_H” IP组ü “线路及方向”选择“上行”ü “外网地址”选择“IP群组”-“TJ_数字货币_上行_H”ü “执行动作”选择“阻断”l恶意域名管控针对情报IOCs中的恶意域名,可在Panabit上根据群组名称建议在Panabit上设置对应的域名响应策略,步骤如下:1. 进入“DNS管控”-添加策略2. 根据IOCs的域名群组名称提示设置对应的策略内容【示例】如下:针对“TJ_恶意软件_上行_H”域名组ü “访问域名”选择“TJ_恶意软件_上行_H”ü “执行动作”选择“丢弃”l恶意URL管控针对情报IOCs中的恶意URL,可在Panabit上根据群组名称建议在Panabit上设置对应的HTTP响应策略,步骤如下:1. 进入“HTTP管控”-添加策略2. 根据IOCs的域名群组名称提示设置对应的策略内容【示例】如下:针对“TJ_数字货币_上行_H”域名组ü “访问域名”选择“TJ_数字货币_上行_H”ü “执行动作”选择“阻断”
APP下载可前往官网下载中心 https://www.panabit.com/download APP专区 进行下载
页:
[1]