.jpg)
Elastic Blog - Elasticsearch, Kibana, and ELK Stack
·
Elastic的新自定义威胁情报集成
💡
原文英文,约1200词,阅读约需5分钟。
📝
内容提要
Elastic推出了自定义威胁情报集成,支持以STIX 2.1格式导入威胁数据。该集成将STIX数据转换为Elastic通用架构(ECS),便于分析和检测。用户可以从STIX API、TAXII 2.1服务器及日志文件中获取情报,并支持灵活的CEL程序进行数据处理,提供可视化仪表板以分析威胁模式。
🎯
关键要点
- Elastic推出了自定义威胁情报集成,支持以STIX 2.1格式导入威胁数据。
- 该集成将STIX数据转换为Elastic通用架构(ECS),便于分析和检测。
- 用户可以从STIX API、TAXII 2.1服务器及日志文件中获取情报。
- 集成支持灵活的CEL程序进行数据处理,允许用户自定义数据提取和处理。
- 集成包括内置仪表板,用于可视化已导入的威胁情报指标,帮助分析威胁模式。
❓
延伸问答
Elastic的新自定义威胁情报集成支持哪些数据格式?
支持以STIX 2.1格式导入威胁数据。
如何从不同来源获取威胁情报?
用户可以从STIX API、TAXII 2.1服务器及日志文件中获取情报。
Elastic的集成如何处理STIX数据?
该集成将STIX数据转换为Elastic通用架构(ECS),便于分析和检测。
CEL程序在自定义威胁情报集成中有什么作用?
CEL程序用于灵活地与STIX API进行通信,支持自定义数据提取和处理。
集成是否支持在隔离环境中使用?
是的,集成支持从日志文件中读取STIX格式的威胁情报,适用于隔离环境。
自定义威胁情报集成提供了哪些可视化工具?
集成包括内置仪表板,用于可视化已导入的威胁情报指标。
➡️
