外部威胁源概述
借助外部威胁源 (ETF) 框架,邮件网关可以使用通过 TAXII 协议传输的 STIX 格式的外部威胁信息。
能够在邮件网关中使用外部威胁信息,这有助于组织:
-
主动应对网络威胁,例如恶意软件、勒索软件、网络钓鱼攻击和有针对性的攻击。
-
订用本地和第三方威胁情报源。
-
提高邮件网关的效率。
您需要有效的功能密钥才能在邮件网关上使用 ETF 功能。有关如何获取功能密钥的信息,请联系您的思科销售代表。
STIX (结构化威胁信息表达式)是表示网络威胁信息的行业标准结构化语言。STIX 源包含一个指示器,其中包含用于检测恶意或可疑网络活动的模式。
以下是此版本支持的 STIX 感染指标 (IOC) 的列表:
-
文件散列监视列表(描述一组可疑恶意文件的散列)
-
IP 监视列表(描述一组可疑的恶意 IP 地址)
-
域监视列表(描述一组可疑的恶意域)
-
URL 监视列表(描述一组可疑的恶意 URL)
TAXII (可信任的指标信息自动交换)定义了一组用于通过不同组织或产品系列的服务(TAXII 服务器)交换网络威胁信息的规范。
此版本(含 TAXII 1.1 的 STIX 1.1.1 和 1.2)支持以下版本的 STIX/TAXII。