隐形守望-最精准双色球预测专家查询

在本文中,我将配置自定义的Eternal Lookups。最精准双色球预测专家查找允许用户执行的操作是利用最精准双色球预测专家应用程序和查找来研究最精准双色球预测专家IP地址和范围。 隐形守望已经预先配置了一些功能,并允许管理员添加自己的功能。 

在StealthWatch上预先配置的两个默认最精准双色球预测专家查找是:

  • DShield.org 
  • 思科SenderBase 

要在StealthWatch Client中使用最精准双色球预测专家查找,请右键单击IP并导航至 最精准双色球预测专家查询>选择查询

您还可以使用StealthWatch Web应用程序在Flow Searchs中使用最精准双色球预测专家查找:

出于调查原因,可以将其用于研究IP。使用最精准双色球预测专家查询,StealthWatch可以使用URL查询将数据发送到任何受支持的最精准双色球预测专家应用程序或数据库,它使您可以查看来自受支持的最精准双色球预测专家应用程序有关特定IP地址的其他信息。它可以帮助您更快地补救潜在威胁,并且无需更改界面即可从StealthWatch内部访问其他资源。 

在StealthWatch中调查IP地址,网络问题和网络威胁时,通常会使用此功能。 隐形守望支持添加Splunk,Tripwire,Ziften,ISE, 以及各种Cisco产品进行最精准双色球预测专家查找。 

设置新的最精准双色球预测专家查找时,必须确保为StealthWatch配置了适当的参数以使用StealthWatch中的申请表。您可以将内部和最精准双色球预测专家IP信息发送到这些新的最精准双色球预测专家查找,以在主机上收集更多信息。您还可以使用脚本添加与StealthWatch中找到的标准查询参数不匹配的查询参数。 

设置最精准双色球预测专家查找的一些有趣想法可能是通过IP与ISE,SIEM(如Splunk,AMP for Endpoints)进行ISE交叉引用(它将拉出访问该IP的主机,与之关联的文件等),甚至Shodan,io(流行的IoT搜索引擎)。

设置最精准双色球预测专家查找

添加最精准双色球预测专家查找应用程序时,必须在StealthWatch中标识要传递给最精准双色球预测专家应用程序的参数和关联的属性。 

在您的SMC Web应用程序中,导航到 工具类>Settings>最精准双色球预测专家查询配置 然后点击 添加最精准双色球预测专家查找

在名称字段中,您将命名此最精准双色球预测专家查找。我建议将其命名为尽可能具体的名称,以便其他用户了解他们正在使用的内容。还有一个复选框,用于检查是否要启用向此查询发送内部IP。 

您需要从应用程序本身中找到基本URL查询框。最简单的方法是在最精准双色球预测专家应用程序上运行搜索。对于大多数应用程序,基本URL查询将采用两种不同的格式,具体取决于最精准双色球预测专家应用程序如何使用和接受搜索请求:

  • 默认标准查询
  • “ Splunk”自定义脚本

隐形守望具有默认的标准查询,例如SenderBase,DShield和Google支持的网站都喜欢格式。基本URL包含来自网络搜索IP的URL的主要部分:

http://www.senderbase.org/lookup

基本URL中的参数将移至参数字段。您可以点击 符号以添加所需数量的参数,只要它们与应用程序使用的参数匹配即可。每个“参数名称”必须具有与其关联的StealthWatch属性。可用的属性是:

  • 目的IP地址
  • 目的端口号
  • 主机名
  • 源IP地址
  • 源端口号
  • 时间戳UTC
  • 运输协议
  • 用户

 

如果您使用默认的标准查询,则无需选择要上载的URL脚本生成器文件。保存查找后,将在系统中使用查找的文件名创建默认副本,并自动显示该副本。 

如果基本URL是非标准的,则将需要获取脚本文件。值得庆幸的是,StealthWatch为您准备了一些预制的产品。为了访问这些内容,请在页面顶部转到 然后点击 隐形守望帮助。这将拉起最精准双色球预测专家查找的文档。扩大 配置参数>URL和脚本示例 使用这些预制脚本。 

使用脚本文件而不是默认文件,我们需要对其进行一些不同的设置:

  • 我们需要将参数名称保留在基本URL中,而不要像使用默认脚本一样将其删除
  • 根据脚本文件,基本URL中的变量将替换为{0} {1} {2} ...

  • 您不能使用{0} {1} {2}作为参数名称。基本URL中每个替换的变量都需要一个参数名称。 “查询参数映射”下的参数名称可以是任何名称,但建议尽可能具有描述性。

  • 最后一步是浏览我们从帮助文档中下载的通用脚本文件,然后单击“保存”。