新增或编辑情报指标
操作场景
情报指标库呈现当前您的所有指标信息。
本章节主要介绍如何新建或编辑情报指标。
新增情报指标
- 登录管理控制台。
- 单击页面左上方的
,选择“安全 > 安全云脑 SecMaster”,进入安全云脑管理页面。 - 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
- 在左侧导航栏选择,进入情报管理页面。
- 在情报管理页面单击“新增”,并在右侧弹出的新增情报管理页面中配置参数。
表1 指标参数说明 参数
说明
指标名称
自定义威胁情报指标名称,命名规则如下:
可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_ ())。
类型
选择指标类型。可选范围:IPv6、URL、其他、邮件、域名、IPv4。
威胁度
选择威胁度等级。
- 黑:表示危险
- 灰:表示一般
- 白:表示安全
数据源产品名称
选择数据源产品的名称。
数据源类型
选择数据源所属类型,可选择以下类型:云服务、第三方产品、租户私有产品。
状态
选择指标状态,可选择以下状态:打开、关闭、作废。
- 打开
- 关闭:当确认情报指标对应的威胁已消除,可关闭情报指标。
- 作废:当确认情报指标信息有误或情报指标所描述的威胁场景不存在,可作废或删除情报指标,情报指标删除后不可找回,请谨慎操作。
置信度
填选指标的可信度,范围为80~100。
责任人
选择该条指标的主要责任人。
标签
自定义指标的标签。
首次发生时间
选择该条指标首次发生时间。
最近发生时间
选择该条指标最近一次发生的具体时间。
失效时间
选择该指标的失效时间。
是否失效
选择是否失效该条指标。默认为“否”。
粒度
选择该指标的粒度。
显示名称
当“类型”选择“邮件”时,可以自定义配置邮件的显示名称。
家族
当“类型”选择“域名”时,可以自定义配置域名所属家族。
邮箱账户
当“类型”选择“IPv6”、“IPv4”、“邮件”或“域名”时,可以自定义配置邮箱账户信息。
地区
当“类型”选择“IPv6”或“IPv4”时,可以自定义配置IP地址所属地区。
URL
当“类型”选择“URL”时,可以自定义配置URL信息。
DNS类别
当“类型”选择“域名”时,可以自定义配置域名的DNS类别。
描述
自定义配置指标的描述信息。
值
填写指标的值,如IP、URL、Domain等。
- 单击“确认”。
编辑情报指标
- 登录管理控制台。
- 单击页面左上方的,选择“安全 > 安全云脑 SecMaster”,进入安全云脑管理页面。
- 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
- 在左侧导航栏选择,进入情报管理页面。
- 在情报管理页面中,单击目标情报所在行“操作”列的“编辑”,右侧弹出编辑情报页面。
- 在弹出的编辑情报指标页面中,编辑指标参数。
表2 指标参数说明 参数
说明
指标名称
自定义威胁情报指标名称,命名规则如下:
可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_ ())。
类型
选择指标类型。
威胁度
选择威胁度等级。
- 黑:表示危险
- 灰:表示一般
- 白:表示安全
数据源产品名称
选择数据源产品的名称,不支持修改。
数据源类型
选择数据源所属类型,不支持修改。
状态
选择指标状态,可选择以下状态:打开、关闭、作废。
置信度
填选指标的可信度,范围为80~100。
责任人
选择该条指标的主要责任人。
标签
自定义指标的标签。
首次发生时间
选择该条指标首次发生时间。
最近发生时间
选择该条指标最近一次发生的具体时间。
失效时间
选择该指标的失效时间。
是否失效
选择是否失效该条指标。默认为“否”。
粒度
选择该指标的粒度。
MD5
自定义填写情报指标的MD5值。
SHA1
自定义填写情报指标的SHA1值。
SHA256
自定义填写情报指标的SHA256值。
文件类型
自定义填写情报指标的文件类型。
编译时间
自定义填写情报指标的编译时间。
文件名
自定义填写情报指标的文件名。
文件mime类型
自定义填写情报指标的文件mime类型。
家族
自定义填写情报指标的所属家族信息。
类别
自定义填写情报指标的类别。
- 单击“确认”。
