外部威胁源概述
借助外部威胁源 (ETF) 框架,邮件网关可以使用以下格式的外部威胁信息:
-
通过 TAXII 协议传输的 STIX 格式。
-
来自思科 SecureX 威胁响应门户的 JavaScript 对象表示法 (JSON) 格式。
能够在邮件网关中使用外部威胁信息,这有助于组织:
-
主动应对网络威胁,例如恶意软件、勒索软件、网络钓鱼攻击和有针对性的攻击。
-
订用本地和第三方威胁情报源。
-
提高邮件网关的效率。
您需要有效的功能密钥才能在邮件网关上使用 ETF 功能。有关如何获取功能密钥的信息,请联系您的思科销售代表。
STIX (结构化威胁信息表达式)是表示网络威胁信息的行业标准结构化语言。STIX 源包含一个指示器,其中包含用于检测恶意或可疑网络活动的模式。
TAXII (可信任的指标信息自动交换)定义了一组用于通过不同组织或产品系列的服务(TAXII 服务器)交换网络威胁信息的规范。
此版本(含 TAXII 1.1 的 STIX 1.1.1 和 1.2)支持以下版本的 STIX/TAXII。
通过思科 SecureX 威胁响应门户,您可以为可观察对象的持续收集创建自定义源,并使用源 URL 在邮件网关中使用这些源。源是 JSON 格式的可观察对象的简单列表。源可在 SecureX 威胁响应门户的情报 (Intelligence) > 源 (Feeds) 页面中创建和管理。
以下是此版本支持的 STIX 和 SecureX 威胁响应感染指标 (IOC) 的列表:
-
文件散列监视列表(描述一组可疑恶意文件的散列)
-
IP 监视列表(描述一组可疑的恶意 IP 地址)
-
域监视列表(描述一组可疑的恶意域)
-
URL 监视列表(描述一组可疑的恶意 URL)