SecureX 威胁响应生态系统 - 网安 - 专业的网络安全产业、社区、知识平台

SecureX威胁响应生态系统
借助SecureX，您可以通过无缝集成SecureX威胁响应和您现有的安全技术来加速威胁搜寻和事件响应。无论是内置，预打包或自定义的集成，您都可以灵活地将您的工具组合在一起。如果您有Cisco Stealthwatch，Firepower，AMP for Endpoints, Umbrella,电子邮件安全，Web安全或威胁网格；您的许可证中包含SecureX威胁响应，无需任何额外费用。

连接您的整个安全堆栈-思科或其他方式-进行更快的调查
在一个视图中聚合和关联多种技术的安全上下文
充分利用您现有的安全投资，包括从我们的技术合作伙伴那里获得的投资

该 SecureX 平台有三类整合的：

内置集成由思科或特定技术合作伙伴开发，供客户即时配置。这些通常是SecureX威胁响应产生威胁情报以在合作伙伴的用户界面中可视化的集成。尽管也有一些例外，例如VirusTotal或合作伙伴将威胁响应API构建到其核心代码中。
思科或技术合作伙伴开发了预打包的集成，供客户使用他们安装到他们维护的云基础架构中的现成脚本。由于您无需学习任何API或编写任何代码，因此所花费的时间得以最小化。这些通常是SecureX威胁响应模块，可产生要在SecureX中可视化的威胁情报。这些是SecureX中可用的模块。
客户可以利用思科和技术合作伙伴的开放API创建自定义集成。通过使用我们在DevNet上的资源快速入门，可以减少集成时间，包括培训，GitHub上的代码链接以及ReadtheDocs上的大量用例和工作流文档。

内置集成

Google VirusTotal *

VirusTotal是一项免费服务，可使用70多种防病毒（AV）扫描程序和URL /域阻止列表服务检查项目。该威胁响应VirusTotal模块，使您可以查询的URL，IP地址，域名或文件哈希，在事件响应过程中，从AV扫描仪和服务，并与样本有关的威胁获得额外的上下文。您可以注册一个免费的VirusTotal帐户并获得一个API密钥。威胁响应代表您使用API密钥将VirusTotal查询结果包括在任何调查中。

IBM Security QRadar SIEM

该威胁响应扩展提供的功能，以从QRadar的IP地址右键转动到超过100 +属性字段类型和查询的判决威胁回应威胁响应控制台和悬停调查。

SecureX威胁响应生态系统
Polarity Data Awareness
该威胁响应集成允许极性的威胁响应富民API搜索到有关各种指标类型的返回信息。
ServiceNow Security Operations

ServiceNow安全操作可以利用威胁响应提供的“判决，引用和响应”功能来协助安全分析人员进行调查工作。这使分析人员可以从ServiceNow内部采取响应措施来补救威胁。
Splunk Enterprise Security
SecureX Threat Response Add-On 提供了一个自定义搜索命令，允许用户从Splunk实例中的可观察对象中查询目标和判定的威胁响应。

Splunk Phantom

Phantom threat response plug使用户或自动化的剧本/动作能够启动对威胁响应的查询，以针对可观察到的并在表中呈现的判决或目击事件。

Swimlane Security Operations Management
Swimlane threat response plugin 允许连接到Threat Response API，以提取和丰富可观察对象。

TheHive Project* – Cortex Analyzers**

该 threat response analyzer 所连接到TheHive，一个可扩展的，开源和免费的安全事件应急平台，与MISP（恶意软件信息共享平台），旨在使生活更轻松的SOC，CSIRT的，证书及任何信息安全从业者处理安全紧密集成需要调查并迅速采取行动的事件。

Pre-packaged integrations
要利用预打包的集成，您必须首先部署云基础架构以实现无威胁响应无服务器中继API。官方安装指南并录制了教程，以使其变得更容易并在GitHub上进行代码，该代码已为AWS Lamba预先配置。API本身只是一个简单的Flask（WSGI）应用程序，可以使用Zappa轻松打包和部署为AWS Lambda函数，并在AWS API Gateway代理后面工作。可以使用Threat Response Relay CLI将已经部署的Relay API（例如，打包为AWS Lambda函数）作为Relay Module推送到威胁响应。Pip安装中提供了威胁响应python API模块。

Abuse IPDB *

Threat response module，用于调查IP和URL。AbuseIPDB支持IP和IPv6。API限制：1000个/天。返回的实体：判决，判断，瞄准，指示符。

AlienVault OTX *

Threat Response module，用于查询AlienVault OTX的可观察对象（IP，IPV6，域，哈希值），并从AlienVault中的“脉冲”返回瞄准和指示器。通过引用操作枢转到AlienVault OTX UI。

APIVoid *

Threat Response module，用于调查IP或域，并从APIVoid阻止列表聚合接收Sightings响应。

Auth0 Signals*

Threat Response module，用于调查IP。查询Auth0信号以获取IP地址，以查找该IP地址是否在任何阻止列表中。根据提供的评分返回IP的判决。从100多个经过整理和标准化的阻止列表中返回开放源情报（OSINT）上下文。

C1fApp *

SecureX威胁响应模块，用于调查IP地址。SecureX从C1fApp收到Verdict响应。可观察到的恶意裁决可在阻止列表中找到，指示符是在其上看到的摘要。

CyberCrime Tracker*

Threat response module，用于调查IP和URL的判决，并接收Cybertracker判决和判决。

Cyberprotect Threatscore*

Threat response module，用于调查IP，域，哈希和文件名。返回的实体：判决和判决。

Farsight Security

该 Farsight Security SecureX threat response module允许用户发起对IP地址和域名的判决进行调查。Farsight Security DNSDB提供有关IP地址（IP和IPv6）和域的丰富数据。认证为 Cisco Compatible。

Gigamon ThreatINSIGHT

该Gigamon ThreatINSIGHT模块能够威胁响应网络查询和威胁数据从Gigamon情报观测的踪迹。Gigamon完成了集成的思科兼容认证，并发布了联合解决方案简介。

Google Chronicle

在 Google Chronicle threat response module 能够查询在SIEM内观测的瞄准（IP，域名，哈希，文件名，文件路径）。另外，列出资产，获取IOC详细信息，列出时间范围内的警报以及列出时间范围内的IOC。

Google安全浏览

Threat response module，用于集成Google安全浏览；Google提供的一项黑名单服务，其中提供了包含恶意软件或网络钓鱼内容的网络资源的网址列表。Google Chrome，Safari，Firefox，Vivaldi和GNOME Web浏览器使用Google安全浏览服务中的列表来检查网页是否存在潜在威胁，并且这种集成使用户能够在威胁响应中拥有黑名单情报。

Have I Been Pwned*

威胁响应模块，用于调查SHA256。该模块在受损的电子邮件和与该电子邮件相关联的用户名周围添加上下文，并在环境中添加有关用户的上下文。如果启用了思科电子邮件安全设备模块，则返回此SHA256已发送到已标识的电子邮件地址，如数据泄露所示。每月小额订阅。

Microsoft Graph安全性

在微软图形安全模块查询的内图安全警报的观测值（IP，域名，哈希，文件名，文件路径）的踪迹。威胁响应可以标准化格式访问大量以Microsoft为中心的数据以及来自第三方的数据。

Pulsedive*

威胁响应模块，用于调查URL。返回判决。

Qualys IOC

威胁响应的Quays指示威胁模块用于调查目标上支持的可观察物的瞄准。支持磁盘上的文件映像，正在运行的进程的磁盘上映像以及已加载模块的磁盘上的映像的哈希值（MD5，SHA256）。同样，文件名（进程名），IP，域，文件路径和Mutex。

Radware* WAF和DDoS*

用于WAF和DDoS滥用活动的IP地址调查的SecureX威胁响应模块，以及这些目击者的指示器。认证为思科兼容。

安全足迹

使用此模块查询SecurityTrail，以获取有关域和IP地址（IP和IPv6）的丰富数据。转到“安全线索” UI，以搜索域和IP地址（IP和IPv6）。

ServiceNow安全操作

当分析师在Threat Response UI中或通过API开始调查时，Threat Response中的ServiceNow模块使ServiceNow成为数据源。这使分析人员可以查询ServiceNow以获取涉及涉及给定可观察性的先前事件的历史背景。

Shodan

IP地址上的SecureX威胁响应“ 数据透视/响应”菜单。Shodan是用于Internet连接设备的搜索引擎。Web搜索引擎（例如Google和Bing）非常适合查找网站。

信号科学Web应用程序保护

Signal Sciences是一家领先的Web应用程序安全公司，提供下一代Web应用程序防火墙（WAF）和运行时应用程序自我保护（RASP）解决方案。通过Signal Sciences开发的威胁响应集成，您的安全运营团队将对所有Web应用程序工作负载的攻击具有即时可见性。借助该集成，您可以立即采取行动。认证为思科兼容。

SpyCloud

该 SecureX threat response SpyCloud module 使用户能够启动调查一个SHA256。该模块在受损的电子邮件和与该电子邮件相关联的用户名周围添加上下文，并在环境中添加有关用户的上下文。如果启用了思科电子邮件安全模块，则它将返回此SHA256已发送到例如数据泄露中已发现的这些电子邮件地址。

ThreatQuotient Security Operations Platform

ThreatQuotient定期将可观察对象的判断和判定发布到Cisco Threat Intelligence API，以进行威胁响应的可视化。此外，ThreatQ使用威胁响应作为威胁情报的丰富资源。

urlscan.io* **

SecureX threat response module，用于将URL提交到urlscan.io中以获取威胁情报上下文。