DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

服务器防护_防护网站_超稳定

11-08 DDOS防御

服务器防护_防护网站_超稳定

去年我写了一篇关于Sophos安全团队如何使用各种数据流来帮助提供其威胁搜索数据的上下文。其中一个数据流来自我们自己的Sophos Central,但我们一直使用不受支持的方法来获取它,直到现在。Sophos安全团队非常兴奋地告诉您Sophos Central API已经正式发布!这意味着现在有一个支持的方法从Sophos Central获取租户信息,它将有助于为您可能在您的房地产中监视的其他安全日志提供上下文。我们还共享Sophos Central API Connector Python库,帮助您使用Sophos Central API密钥快速获取信息。让我们更深入地研究如何使用和获取数据。关于API从Sophos Central API开始查询端点和事件信息需要几个步骤。您需要创建并安全地存储客户机ID和客户机机密,以便为您的租户访问API。我们怎么强调把这些钥匙安全地保存起来有多重要。以下是授权过程的基本概念:使用您的客户机ID和客户机密码授权并获取OAuth2的承载令牌。使用whoami api进行身份验证,以使用承载令牌获取您的合作伙伴、组织或租户ID。如果您是合作伙伴或组织,则可以使用特定的API获取不同地产的所有租户ID信息。一旦您有了租户ID及其关联的数据区域API主机,就可以开始获取这些租户的端点或事件数据。在本文中,我们将关注两个api:GET/alerts和GET/endpoints。获取/终结点endpointapi集中于查询计算机和服务器端点。它允许您对它们执行常规操作,例如收集系统信息、执行或配置扫描、收集或更改篡改保护状态、触发更新或删除端点。当使用GET/endpoints路径时,这将获取指定租户的所有端点。获取/警报常见的API是针对打开的警报的交互式警报管理,允许您对其进行操作。GET/alerts功能是公共API的一部分,它获取与您在查询参数中指定的条件相匹配的警报。一旦您从警报中获得了允许的操作,就可以发布以执行该事件的操作。或者,有一个路径来发布搜索特定事件条件或搜索特定端点ID的警报。有关如何创建API密钥的信息以及API本身的详细信息,请查看Sophos Central API developer站点。所有这些都很重要,但Sophos安全团队如何获得和使用这些数据?我们使用数据的目的从Sophos Central API获得的信息,加上SIEM中的其他安全/应用程序日志,使我们能够丰富我们的安全用例。这使我们能够查明更严重的事件并迅速采取行动。它也有助于自动化,允许流对事件起作用,并从中心获取特定设备上的更多信息。这样可以更好地了解机器的运行状况。不仅如此,根据警报类型,nginx防御cc策略,您可以清除或删除检测,触发新的扫描,或查看在事故中需要关注的系统。我们计划在未来几个月提供更多的数据和功能。我鼓励您关注我们的"最新消息"页面,以便进一步发布。Sophos Security Team Central API连接器库我们开发API连接器库的目的是使我们的团队能够在各种安全用例中轻松地使用Sophos Central API。然后,我们意识到该库对您(我们的客户)也很有用,可以帮助您开始将数据摄取到您的SIEM中,或者简单地获取数据以便您可以使用它来做什么。所以这正是我们所做的!图书馆现在可以使用了。您可以从以下位置访问它:PyPI–pip安装sophos central api连接器github在图书馆旁边,我们有一个sophos_central_主.py它已编写为使用CLI从Sophos Central API获取库存或警报数据。使用CLI有四个输出选项:stdout:将库存信息打印到控制台。json:将请求的输出保存到json文件中。splunk:这将把数据发送到splunk而不做任何更改,并应用令牌配置中的设置。splunk_trans:使用此输出将应用splunk中设置的信息_配置.ini对于主机、源和源类型。这将覆盖令牌配置中的设置。但是,它不会更改数据应该发送到的索引。我将用一个示例命令来介绍这个功能,但是首先我们需要介绍它使用的不同配置文件。配置文件sophos峎central峎api_配置.py此配置文件中包含的大多数变量必须保持静态,以保持Sophos Central API连接器的正确功能。但是,如果您希望默认行为不同,有两个变量可以更改。DEFAULT_OUTPUT:此变量设置为"stdout",因此如果没有将输出参数传递给CLI,则结果将返回到控制台。如果需要,可以将其更改为另一个有效值。如果"U DAYS"参数默认设置为"no DAYS",则"U DAYS"参数默认为"no"。此默认值还用于轮询警报事件的默认天数。更多关于这一点的信息如下。索福斯_配置.ini虽然您可以在此配置中设置静态API凭据,但我们强烈建议,这仅用于测试目的。在可能的情况下,阿里云如何防御ddos,使用AWS Secrets Manager存储您的凭证ID和令牌。您可以通过配置以下详细信息来访问您的AWS机密:机密名称:地区名称:客户端密钥:客户端密钥:页面大小配置是您在查询Sophos Central API时希望每页显示的事件数。您可以指定最大页面大小,这将在连接器执行期间进行检查。如果这些页面大小留空,则将使用API确定的默认页面大小。飞溅_配置.ini此配置仅适用于直接向Splunk发送警报和库存的管理员。静态令牌信息和使用AWS机密管理器的选项都有。我们建议static entry选项仅用于测试目的,并安全地存储和访问令牌。有关如何启用和设置Splunk HTTP事件收集器的信息可以在HTTP事件收集器文档中找到。示例命令一旦设置了配置文件,就可以开始查看所拥有的数据了。要显示语法帮助信息:'python/sophos_中央_主.py--帮助'要获取租户信息:'python/sophos_中央_主.py--auth--获取租户'要获取库存数据:'python/sophos_中央_主.py--auth--获取库存--output'如果您希望只获取一个特定租户的库存,则语法如下:'python/sophos_中央_主.py--auth--获取库存--tenant--output'在运行租户ID查询时可以使用租户ID。与"获取库存"选项一样,您可以检索特定租户或所有租户的警报。此外,您可以使用days参数指定要收回的警报的天数。Sophos Central保存90天的事件数据,因此在传递days参数时,可以将days指定为1到90之间的整数。如果未传递天数参数,ddos速器防御,则设置默认值一天,或设置为sophos_central_api中"默认天数"中设置的任何值_配置.py文件。要运行警报数据:'python/sophos_中央_主.py--auth--获取警报--days--output'由于警报可能会在不同的时间到达Central,这取决于计算机何时将信息发回,因此我们需要一种方法来查看哪些警报已经发送到我们的SIEM。当传递轮询选项时,将维护成功事件的列表,以防止向SIEM发送重复事件。要运行轮询选项:'python/sophos_中央_主.py--auth--获取警报--days--poll斨alerts--output'对于"获取所有库存"功能,应返回"所有系统的库存"选项。这是因为每次运行CLI时,每台机器的数据都可能更改,或者只需根据需要获取特定的端点id清单数据。为什么Sophos安全团队对Sophos Central API感到兴奋我们喜欢Sophos Central API提供的灵活性,以及它如何允许我们为其他日志带来更多上下文。我们已经能够立即了解到宿主的健康状况以及最近是否有任何发现。另外,防御ddos防火墙,警报和设备很容易从中心维护。可以肯定地说,安全团队已经对API竖起了大拇指,cc防火墙,我们希望您也能发现Sophos Central API Connector Python库也很有用。随着Sophos Central API的不断更新,请留意未来的更多功能。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/51385.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6925961访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X