名单库策略提升检测效率

场景说明

MTD服务支持添加所有服务发现的情报/白名单IP或域名至名单库，添加后MTD将优先关联检测名单库中的IP或域名，及时发现（情报）/忽略（白名单）名单库中IP/域名地址的活动，降低检测响应时间，提升检测效率，减轻MTD运行负载。

如果目标IP或域名同时出现在情报和白名单中，因白名单优先级更高，因此目标IP或域名检测时将会直接被忽略。

前提条件

• 因MTD服务添加的情报/白名单是从OBS桶添加至MTD服务，因此在MTD服务添加情报/白名单时，需要添加的情报/白名单对象文件需已上传至OBS桶中，OBS桶上传对象操作详情请参见上传文件。
• 由于MTD添加的情报/白名单仅支持Plaintext格式，因此OBS桶上传的对象需按照Plaintext格式编写。Plaintext格式编写详情请参见如何编辑Plaintext格式的对象？。

情报：也称作黑名单，指受访问时被禁止的IP或域名。

操作步骤

1. 登录管理控制台。
2. 在左侧导航树中，单击，选择“安全与合规>威胁检测服务”，进入威胁检测服务界面，选择“设置>威胁情报”，按照图1所示。
   图1 进入威胁情报页面
   

3. 添加情报/白名单。
   1. 添加情报。
      1. 选择“情报 > 添加情报”，弹出“添加情报”对话框，如图2所示，相关参数如表1所示。
         图2 添加情报
         

         表1 情报参数说明

         参数名称	参数说明	取值样例
         文件名称	添加的情报文件名称，建议自定义。	BlackList
         对象类型	选择需要从OBS桶添加至MTD服务的对象文件类型。 IP：服务将基于您情报内的IP地址进行威胁检测。 域名：服务将基于您情报内的域名进行威胁检测。 添加至MTD情报后，威胁检测服务将优先关联检测情报内的IP或域名，对日志中存在相似的情报信息快速生成告警。	IP
         桶名称	对象文件所在的OBS桶名称。 说明： 如果没有可选择的OBS桶，可单击“查看/创建桶”，进入对象存储服务管理控制台，查看/创建OBS桶，更多详细操作请参见创建桶。	obs-mtd-bejing4
         对象名称	桶内存储情报信息的对象名称。 须知： 填写对象名称时文件扩展名也需要填写。	mtd-blacklist-ip.txt
         存储路径	情报在OBS桶的存储路径。	obs://obs-mtd-beijing4/mtd-blacklist-ip.txt

      2. 确认信息无误，单击“确定”，导入的文件显示在情报列表，表示情报导入成功。
   2. 添加白名单。
      1. 选择“白名单 > 添加白名单”，弹出“添加白名单”对话框，如图3所示，相关参数如表2所示。
         图3 添加白名单
         

         表2 白名单参数说明

         参数名称	参数说明	取值样例
         文件名称	添加的白名单文件名称，建议自定义。	SecurityList
         对象类型	选择需要从OBS桶添加至MTD服务的对象文件类型。 IP：服务将基于您白名单内的IP地址进行威胁检测。 域名：服务将基于您白名单内的域名进行威胁检测。 添加至MTD白名单后，威胁检测服务将优先关联检测白名单内的IP或域名，对日志中存在关联的白名单信息进行忽略。	IP
         桶名称	对象文件所在的OBS桶名称。 说明： 如果没有可选择的OBS桶，可单击“查看/创建桶”，进入对象存储服务管理控制台，查看/创建OBS桶，更多详细操作请参见创建桶。	obs-mtd-bejing4
         对象名称	桶内存储情报信息的对象名称。 须知： 填写对象名称时文件扩展名也需要填写。	mtd-securitylist-ip.txt
         存储路径	情报在OBS桶的存储路径。	obs://obs-mtd-beijing4/mtd-securitylist-ip.txt

      2. 确认信息无误，单击“确定”，导入的文件显示在白名单列表，表示白名单导入成功。

4. 在“威胁情报”页面，选择“情报”或“白名单”页签，可查看已添加的情报/白名单详情列表，如图4/图5所示。
   图4 情报列表
   
   图5 白名单列表
   

添加情报示例