将AlienVault配置为ESA的外部威胁源

下载选项

  • PDF     (1.4 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.2 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (928.3 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2025 年 6 月 18 日
文档 ID:223085

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍从AlienVault源配置外部威胁源并在ESA中使用它的步骤。

    先决条件

    要求

    建议掌握下列主题的相关知识:

    • 思科安全电子邮件网关(SEG/ESA)AsyncOS 16.0.2
    • Linux CLI
    • Python3 pip
    • AlienVault帐户


    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • 邮件安全设备
    • Python3

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    外部威胁源(ETF)框架使邮件网关能够通过TAXII协议接收以STIX格式共享的外部威胁情报。利用此功能,组织可以:

    • 主动抵御网络威胁,例如恶意软件、勒索软件、网络钓鱼和有针对性的攻击。
    • 订阅本地和第三方威胁情报源。
    • 增强电邮网关的整体有效性。

    什么是STIX/TAXII?

    STIX(结构化威胁信息表达)

    STIX是一种标准化格式,用于以结构化和机器可读的方式描述网络威胁情报(CTI),包括指标、战术、技术、恶意软件和威胁实施者。STIX馈送通常包含指示器 — 有助于检测可疑或恶意网络活动的模式。

    TAXII(可信自动情报信息交换)

    TAXII是一种用于在系统之间安全、自动地交换STIX数据的协议。定义如何在系统、产品或组织之间通过专用服务(TAXII服务器)交换网络威胁情报。

    note-icon

    意:AsyncOS 16.0版本支持STIX/TAXII版本:STIX 1.1.1和1.2,TAXII 1.1。

    馈送源

    邮件安全设备可以使用来自各种来源的威胁情报源,包括公共存储库、商业提供商以及您组织中的专用服务器。

    为确保兼容性,所有来源都必须使用STIX/TAXII标准,该标准支持威胁数据的结构化自动共享。


    Cabby库

    Cabby Python库是连接到TAXII服务器、发现STIX集合和轮询威胁数据的有用工具。在将数据集成到邮件安全设备之前,这是一个很好的测试和验证源是否正常工作以及是否按预期返回数据的方式。

    安装Cabby库

    要安装Cabby库,您需要确保本地计算机已安装Python pip。

    安装python pip后,只需运行此命令即可安装cabby库。

     python3 -m pip install cabby

    完成cabby库安装后,您可以验证taxii-collectionstaxii-poll命令现在是否可用。

    (cabby) bash-3.2$ taxii-collections -h
usage: taxii-collections [-h] [--host HOST] [--port PORT] [--discovery DISCOVERY] [--path URI] [--https] [--verify VERIFY] [--timeout TIMEOUT] [--ca-cert CA_CERT]
                         [--cert CERT] [--key KEY] [--key-password KEY_PASSWORD] [--username USERNAME] [--password PASSWORD] [--jwt-auth JWT_AUTH_URL]
                         [--proxy-url PROXY_URL] [--proxy-type {http,https}] [--header HEADERS] [-v] [-x] [-t {1.0,1.1}]
    (cabby) bash-3.2$ taxii-poll -h
usage: taxii-poll [-h] [--host HOST] [--port PORT] [--discovery DISCOVERY] [--path URI] [--https] [--verify VERIFY] [--timeout TIMEOUT] [--ca-cert CA_CERT] [--cert CERT]
                  [--key KEY] [--key-password KEY_PASSWORD] [--username USERNAME] [--password PASSWORD] [--jwt-auth JWT_AUTH_URL] [--proxy-url PROXY_URL]
                  [--proxy-type {http,https}] [--header HEADERS] [-v] [-x] [-t {1.0,1.1}] -c COLLECTION [--dest-dir DEST_DIR] [-l LIMIT] [-r] [--begin BEGIN] [--end END]
                  [-b BINDINGS] [-s SUBSCRIPTION_ID] [--count-only]

    AlienVault — 脉冲和源

    要开始发现AlienVault信息,请先在AlienVault站点上创建帐户,然后开始搜索所需信息。

    在AlienVault中,源和脉冲是相关的,但不相同:

    脉冲

    脉冲是带有分组指示符+情景的威胁英特尔(人可读)。

    • Pulse是围绕特定威胁或活动分组的威胁指标(IOC)的集合。
    • 由社区或提供商创建,用于描述诸如恶意软件、网络钓鱼、勒索软件等内容。
    • 每个脉冲包括威胁描述、相关指标(IP、域、文件哈希等)、标记和参考等情景。
    • 脉冲是人类可读的,其结构方式易于理解和共享。


    将脉冲视为具有分组IOC和元数据的威胁报告。


    馈送是来自多个脉冲的指示器自动流(机器可读)。

    • 源是从一个或多个脉冲提取的原始指示符(IOC)流,通常采用自动化方式。
    • 安全工具通常使用它们通过STIX/TAXII、CSV或JSON等格式批量接收指标。
    • 订阅源以机器为中心,用于自动化和与SIEM、防火墙和电邮网关集成。


    馈送更多的是关于传送机制,而脉冲则是威胁的内容和情景。

    您通常轮询源,这些源由从脉冲中提取的指示器组成。

    开始轮询收集

    从自己的配置文件轮询

    拥有您的AlienVault帐户后,您可以开始使用taxii-collectionstaxii-poll命令。

    以下是此使用案例的以下命令:

    在这种情况下,在AlienVault配置文件中,没有可用的脉冲,但作为测试,您可以使用taxii-poll命令轮询配置文件中的集合:

    Alienvault Personal Profilealienvault个人配置文件

    taxii-poll --path https://otx.alienvault.com/taxii/poll --collection user_ --username abcdefg --password ****

    Poll Personal Profile轮询个人配置文件

    如您所见,AlienVault配置文件中没有可用的信息,因此没有轮询的块。

    从AlienVault配置文件轮询

    一旦发现AlienVault中的配置文件,其中一些配置文件会包含脉冲。在本示例中,使用AlienVault配置文件。

    Alienvault User Profilealienvault配置文件

    使用taxii-poll命令运行轮询时,它会立即开始从配置文件中获取所有信息。

    taxii-poll --path https://otx.alienvault.com/taxii/poll --collection user_AlienVault --username abcdefg --password ****

    taxxi-poll user_AlienVaultAlienvault调查

    如图所示,流程开始获取信息。

    note-icon

    注意:要了解您的用户名和密码,请选中此链接https://otx.alienvault.com/api

    AlienVault配置文件集合订阅

    作为测试,此用户订用了3个配置文件。

    Personal Profile Subscriptions个人简档订阅

    您可以使用taxii-collections命令获取这些订阅。

    taxii-collections --path https://otx.alienvault.com/taxii/collections --username abcdefg --password ****

    taxii-collections个人简档集合

    如果“收集名称”(Collection Name)与您订用的名称相同,则可以确认taxii-collections命令是否有效。

    将源添加到ESA

    添加没有源的源

    1. 导航到邮件策略 > 外部威胁源管理器
    2. 更改为集群模式
    3. 单击Add Source
    4. 主机名:otx.alienvault.com
    5. 轮询路径:/taxi/poll
    6. 集合名称:user_<your_AlienVault_username>
    7. 端口:443
    8. 配置用户凭证:AlienVault提供给你的那种。
    9. 单击Submit > Commit Changes

    Edit Source个人来源

    无源的轮询源

    在外部威胁源管理器中,添加源后,新添加的源将可见。

    Polling from user_diegoher Source个人馈送

    添加后,单击Poll Now

    验证

    通过CLI登录ESA并查看威胁源日志以验证信息。

    0 Observables FetchedETF个人调查

    如图所示,您可以看到提取了0个可观察量,这是预期结果,因为显示的配置文件中没有源。

    添加源与源

    1. 导航到邮件策略 > 外部威胁源管理器
    2. 更改为集群模式
    3. 单击Add Source
    4. 主机名:otx.alienvault.com
    5. 轮询路径:/taxi/poll
    6. 集合名称:user_AlienVault
    7. 端口:443
    8. 配置用户凭证:AlienVault提供给你的那种。
    9. 单击Submit > Commit Changes

    user_AlienVault SourceAlienvault源

    具有源的轮询源

    在外部威胁源管理器中,添加源后,新添加的源将可见。

    Polling user_AlienVault Feedalienvault馈送

    添加后,点击Poll Now。

    验证

    通过CLI登录ESA并查看威胁源日志以验证信息。

    user_AlienVault Observables Fetched轮询alienvault源

    如图所示,您可以看到读取了几个观察值。

    note-icon

    注意:如果向配置的集合中添加了新源,ESA将自动轮询源,并获取新的可观察量。

    修订历史记录

    版本 发布日期 备注
    1.0
    20-Jun-2025
    初始版本
    TAC Authored

    由思科工程师提供

    • 迭戈·埃尔南德斯·兰德洛斯
      技术咨询工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品