更新时间:2024-07-17 GMT+08:00

管理威胁情报

操作场景

本章节介绍如何管理威胁情报类型。

约束与限制

  • 系统内置威胁情报类型已默认关联已有布局,暂不支持自定义关联布局。
  • 系统内置威胁情报类型默认处于启用状态,暂不支持进行编辑、启用、禁用、删除操作。
  • 自定义威胁情报类型新增成功后,不支持修改类型标识。

查看已有威胁情报类型

  1. 登录管理控制台。
  2. 单击页面左上方的,选择“安全 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  4. 在左侧导航栏选择安全编排 > 运营对象,进入运营对象的数据类页面后,选择“类型管理”页签,进入类型管理页面。

    图2 进入类型管理页面

  5. 在类型管理页面,选择“威胁情报”页签,进入威胁情报类型管理页面。
  6. 在威胁情报类型管理页面中,查看已有威胁情报的详细信息,参数说明如表1所示。

    表1 威胁情报参数说明

    参数名称

    参数说明

    类型名称/类型标识

    威胁情报的名称和标识。

    关联布局

    威胁情报已关联的布局。

    启用状态

    威胁情报的启用状态。

    • 启用:当前类型已启用。
    • 禁用:当前类型已被禁用。

    失效时间

    威胁情报的失效时间。

    内置

    是否为系统内置的威胁情报。

    描述

    威胁情报的描述信息。

    操作

    可以对威胁情报进行编辑、删除等操作。

新增威胁情报类型

  1. 登录管理控制台。
  2. 单击页面左上方的,选择“安全 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图3 进入目标工作空间管理页面

  4. 在左侧导航栏选择安全编排 > 运营对象,进入运营对象的数据类页面后,选择“类型管理”页签,进入类型管理页面。

    图4 进入类型管理页面

  5. 在类型管理页面,选择“威胁情报”页签,进入威胁情报类型管理页面。
  6. 在威胁情报类型管理页面中单击“新增”,右侧弹出新增类型页面。在新增类型页面中,配置类型参数。

    表2 威胁情报参数说明

    参数名称

    参数说明

    类型名称

    自定义新增威胁情报的名称。名称需遵循大驼峰命名规范,例如TypeName。

    类型标识

    填写威胁情报标识。标识关键字需遵循大驼峰命名规范,例如TypeTag。

    启动状态

    设置威胁情报的启动状态。

    失效时间

    设置威胁情报的失效时间。

    • 永不失效:表示当前情报类型永不失效。
    • 时间间隔:设置情报失效的间隔时间。

    描述

    自定义威胁情报的描述信息。

    自定义威胁情报类型新增成功后,不支持修改类型标识。

  7. 在页面右下角单击“确认”,完成新增操作。

    新增完成后,可以在威胁情报类型页面的表格中查看已新增的类型。

威胁情报类型关联布局

系统内置威胁情报类型已默认关联已有布局,暂不支持自定义关联布局。

  1. 登录管理控制台。
  2. 单击页面左上方的,选择“安全 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图5 进入目标工作空间管理页面

  4. 在左侧导航栏选择安全编排 > 运营对象,进入运营对象的数据类页面后,选择“类型管理”页签,进入类型管理页面。

    图6 进入类型管理页面

  5. 在类型管理页面,选择“威胁情报”页签,进入威胁情报类型管理页面。
  6. 在威胁情报类型管理页面中,选择需要关联布局的类型,并单击目标类型所在行“操作”列的“关联布局”,页面弹出绑定布局编辑框。
  7. 在绑定布局编辑框中,选择需要关联的布局。
  8. 单击“确认”

编辑已有威胁情报类型

  • 暂不支持编辑系统内置威胁情报类型。
  • 自定义威胁情报类型新增成功后,不支持修改类型名称。
  1. 登录管理控制台。
  2. 单击页面左上方的,选择“安全 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图7 进入目标工作空间管理页面

  4. 在左侧导航栏选择安全编排 > 运营对象,进入运营对象的数据类页面后,选择“类型管理”页签,进入类型管理页面。

    图8 进入类型管理页面

  5. 在类型管理页面,选择“威胁情报”页签,进入威胁情报类型管理页面。
  6. 在威胁情报类型管理页面中,选择需要编辑的类型,并单击目标类型所在行“操作”列的“编辑”,右侧弹出编辑页面。
  7. 在编辑页面中,编辑对应类型的参数信息。

    表3 威胁情报参数说明

    参数名称

    参数说明

    类型名称

    自定义威胁情报的名称。

    类型标识

    威胁情报标识,不支持修改

    启动状态

    设置威胁情报的启动状态。

    失效时间

    设置威胁情报的失效时间。

    • 永不失效:表示当前情报类型永不失效。
    • 时间间隔:设置情报失效的间隔时间。

    描述

    自定义威胁情报的描述信息。

  8. 在页面右下角单击“确认”

管理已有威胁情报类型

  1. 登录管理控制台。
  2. 单击页面左上方的,选择“安全 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图9 进入目标工作空间管理页面

  4. 在左侧导航栏选择安全编排 > 运营对象,进入运营对象的数据类页面后,选择“类型管理”页签,进入类型管理页面。

    图10 进入类型管理页面

  5. 在类型管理页面,选择“威胁情报”页签,进入威胁情报类型管理页面。
  6. 在威胁情报类型管理页面中,对威胁情报类型进行管理。

    表4 管理已有威胁情报类型

    操作

    操作说明

    启用

    说明:

    系统内置威胁情报类型默认处于启用状态,无需手动启用。

    1. 在威胁情报类型管理页面中,选择需要启用的类型,并单击类型列表左上角“批量启用”

      也可以直接单击需要启用的情报类型所在行“启用状态”所在列的禁用按钮。

    2. 在弹出的确认框中,单击“确认”

      当系统提示操作成功,且目标类型“启用状态”更新为“启用”时,则表示启用成功。

    禁用

    说明:

    暂不支持禁用系统内置威胁情报类型。

    1. 在威胁情报类型管理页面中,选择需要禁用的类型,并单击类型列表左上角“批量禁用”

      也可以直接单击需要禁用的情报类型所在行“启用状态”所在列的启用按钮。

    2. 在弹出的确认框中,单击“确认”

      当系统提示操作成功,且目标类型“启用状态”更新为“禁用”时,则表示禁用成功。

    删除

    说明:

    暂不支持删除系统内置威胁情报类型。

    1. 在威胁情报类型管理页面中,选择需要删除的类型,并单击目标类型所在行“操作”列的“删除”,右侧弹出删除确认界面。
    2. 在弹出的确认框中,单击“确认”