管理威胁情报

操作场景

本章节介绍如何管理威胁情报类型。

• 查看已有威胁情报类型：查看已有的威胁情报类型及其详细信息。
• 新增威胁情报类型：介绍如何自定义新增威胁情报类型。
• 威胁情报类型关联布局：介绍如何将自定义新增的威胁情报类型关联已有布局。
• 编辑已有威胁情报类型：介绍如何编辑自定义新增的威胁情报类型。
• 管理已有威胁情报类型：介绍如何启用、禁用、删除自定义新增的威胁情报类型。

约束与限制

• 系统内置威胁情报类型已默认关联已有布局，暂不支持自定义关联布局。
• 系统内置威胁情报类型默认处于启用状态，暂不支持进行编辑、启用、禁用、删除操作。
• 自定义威胁情报类型新增成功后，不支持修改类型标识。

查看已有威胁情报类型

1. 登录管理控制台。
2. 单击页面左上方的，选择“安全 > 安全云脑 SecMaster”，进入安全云脑管理页面。
3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。
5. 在类型管理页面，选择“威胁情报”页签，进入威胁情报类型管理页面。
6. 在威胁情报类型管理页面中，查看已有威胁情报的详细信息，参数说明如表1所示。

   表1 威胁情报参数说明

   参数名称	参数说明
   类型名称/类型标识	威胁情报的名称和标识。
   关联布局	威胁情报已关联的布局。
   启用状态	威胁情报的启用状态。 启用：当前类型已启用。 禁用：当前类型已被禁用。
   失效时间	威胁情报的失效时间。
   内置	是否为系统内置的威胁情报。
   描述	威胁情报的描述信息。
   操作	可以对威胁情报进行编辑、删除等操作。

新增威胁情报类型

1. 登录管理控制台。
2. 单击页面左上方的，选择“安全 > 安全云脑 SecMaster”，进入安全云脑管理页面。
3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。
5. 在类型管理页面，选择“威胁情报”页签，进入威胁情报类型管理页面。
6. 在威胁情报类型管理页面中单击“新增”，右侧弹出新增类型页面。在新增类型页面中，配置类型参数。

   表2 威胁情报参数说明

   参数名称	参数说明
   类型名称	自定义新增威胁情报的名称。
   类型标识	填写威胁情报标识。标识关键字需遵循大驼峰命名规范，例如TypeTag。
   启动状态	设置威胁情报的启动状态。
   失效时间	设置威胁情报的失效时间。 永不失效：表示当前情报类型永不失效。 时间间隔：设置情报失效的间隔时间。
   描述	自定义威胁情报的描述信息。

   

   自定义威胁情报类型新增成功后，不支持修改类型标识。

7. 在页面右下角单击“确认”，完成新增操作。

   新增完成后，可以在威胁情报类型页面的表格中查看已新增的类型。

威胁情报类型关联布局

系统内置威胁情报类型已默认关联已有布局，暂不支持自定义关联布局。

1. 登录管理控制台。
2. 单击页面左上方的，选择“安全 > 安全云脑 SecMaster”，进入安全云脑管理页面。
3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。
5. 在类型管理页面，选择“威胁情报”页签，进入威胁情报类型管理页面。
6. 在威胁情报类型管理页面中，选择需要关联布局的类型，并单击目标类型所在行“操作”列的“关联布局”，页面弹出绑定布局编辑框。
7. 在绑定布局编辑框中，选择需要关联的布局，并单击“确认”。

编辑已有威胁情报类型

• 暂不支持编辑系统内置威胁情报类型。
• 自定义威胁情报类型新增成功后，不支持修改类型标识。

1. 登录管理控制台。
2. 单击页面左上方的，选择“安全 > 安全云脑 SecMaster”，进入安全云脑管理页面。
3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。
5. 在类型管理页面，选择“威胁情报”页签，进入威胁情报类型管理页面。
6. 在威胁情报类型管理页面中，选择需要编辑的类型，并单击目标类型所在行“操作”列的“编辑”，右侧弹出编辑页面。
7. 在编辑页面中，编辑对应类型的参数信息。

   表3 威胁情报参数说明

   参数名称	参数说明
   类型名称	自定义威胁情报的名称。
   类型标识	威胁情报标识，不支持修改。
   启动状态	设置威胁情报的启动状态。
   失效时间	设置威胁情报的失效时间。 永不失效：表示当前情报类型永不失效。 时间间隔：设置情报失效的间隔时间。
   描述	自定义威胁情报的描述信息。

8. 在页面右下角单击“确认”。

管理已有威胁情报类型

1. 登录管理控制台。
2. 单击页面左上方的，选择“安全 > 安全云脑 SecMaster”，进入安全云脑管理页面。
3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。
5. 在类型管理页面，选择“威胁情报”页签，进入威胁情报类型管理页面。
6. 在威胁情报类型管理页面中，对威胁情报类型进行管理。
   

   • 系统内置威胁情报类型默认处于启用状态，无需手动启用。
   • 暂不支持禁用或删除系统内置威胁情报类型。

   表4 管理已有威胁情报类型

   操作	操作说明
   启用	在威胁情报类型管理页面中，选择需要启用的类型，并单击类型列表左上角“批量启用”。 也可以直接单击需要启用的情报类型所在行“启用状态”所在列的禁用按钮。 在弹出的确认框中，单击“确认”。 当系统提示操作成功，且目标类型“启用状态”更新为“启用”时，则表示启用成功。
   禁用	在威胁情报类型管理页面中，选择需要禁用的类型，并单击类型列表左上角“批量禁用”。 也可以直接单击需要禁用的情报类型所在行“启用状态”所在列的启用按钮。 在弹出的确认框中，单击“确认”。 当系统提示操作成功，且目标类型“启用状态”更新为“禁用”时，则表示禁用成功。
   删除	在威胁情报类型管理页面中，选择需要删除的类型，并单击目标类型所在行“操作”列的“删除”，右侧弹出删除确认界面。 在弹出的确认框中，单击“确认”。