建立一個示範報告以測試安全威脅資訊的掃描能力。
使用以下步驟來建立安全威脅資訊掃描的示範報告,並在Workbench應用程式中生成警報。
步驟
- 在 Trend Vision One 主控台中,前往 。
- 在過去 30 天內搜尋 VPC Flow Log 資料防護。使用Network Activity Data搜尋方法並按productCode: vpc篩選。
- 選擇一個範例活動並複製以下其中一個欄位:
-
src: 來源 IP 位址 -
dst: 目標 IP 位址 -
pktSrcAddr:封包來源位址 -
pktDstAddr:封包目標位址
-
- 使用報告範本來建立自訂的示範範本。在示範範本中,替換
"objects"下列屬性的值:-
"name":將"${name}"替換為可識別的名稱。例如,"name": "VPC Flow Log Test" -
"id": 將"${report_id}"替換為包含 GUID 的報告名稱。例如,"id": "report--a763cbf4-3562-456e-a319-ef94e33ead72" -
"pattern":將"${pattern}"替換為搜尋值。這是您從上一步的搜尋結果中複製的 IPv4 位址值,格式為"[ipv4-addr:value = 'x.x.x.x']"。例如,如果目標 IP 位址是8.8.8.8,請將屬性:值設置為 "pattern": "[ipv4-addr:value = '8.8.8.8']"
使用以下代碼來建立示範範本。示範範本是一個以 JSON 格式編寫的 STIX 檔案。{ "type": "bundle", "id": "bundle--f084b7bb-cec2-4547-b9af-2076359b8647", "objects": [ { "created_by_ref": "identity--a9cbc950-6454-4e73-ab75-b2a16c76adc5", "name": "${name}", "published": "2022-09-09T07:21:23.921Z", "modified": "2022-09-09T07:21:23.921Z", "report_types": [ "indicator" ], "object_refs": [ "identity--a9cbc950-6454-4e73-ab75-b2a16c76adc5", "indicator--491094c9-3245-48b4-9f2e-f53aae86c767" ], "type": "report", "id": "${report_id}", "created": "2022-09-09T07:21:23.921Z", "spec_version": "2.1" }, { "type": "identity", "id": "identity--a9cbc950-6454-4e73-ab75-b2a16c76adc5", "created": "2022-09-09T07:21:23.921Z", "modified": "2022-09-09T07:21:23.921Z", "spec_version": "2.1" }, { "valid_from": "2022-09-09 07:21:10", "created_by_ref": "identity--a9cbc950-6454-4e73-ab75-b2a16c76adc5", "created": "2022-09-09T07:21:23.921Z", "pattern": "${pattern}", "pattern_type": "stix", "labels": [ "malicious-activity" ], "modified": "2022-09-09T07:21:23.921Z", "type": "indicator", "id": "indicator--491094c9-3245-48b4-9f2e-f53aae86c767", "spec_version": "2.1", "description": "" } ] }為獲得最佳效果,將文件另存為 {report_id}.json,並在文件名中包含 GUID。 -
- 前往 。
- 點選新增。
- 對於Method,選擇STIX file。
- 點選Select File...並找到您建立的示範範本檔案。
- 點選Submit。
- 找到您建立的自訂報告,然後點選選項圖示 (
)。 - 選擇Start Sweeping以執行報告。如果配置正確,匹配的掃描會顯示與 Workbench 警報相關聯的通知。點選連結以在 Workbench 應用程式中查看警報。