更新时间:2025-08-07 GMT+08:00
情报管理概述
威胁情报是描述对系统和用户的现有或潜在威胁的信息,使用威胁情报为异常活动提供必要的上下文,以便安全负责人可以快速采取措施来保护其人员、信息和资产。
威胁情报的形式是情报指标,情报指标是将URL或IP地址等观察项目与网络钓鱼或恶意软件等已知威胁活动关联起来的数据。它会大规模地应用于安全产品和自动化服务,以检测组织面临的潜在威胁并进行防范。通过情报指标的创建和管理,加快威胁检测和修正。安全云脑仅支持人工新增情报指标或导入情报指标,创建情报指标后可以通过自定义剧本实现威胁管理分析处理等操作。
情报指标支持如下管理操作:
- 新增情报指标:当发现对系统和用户潜在的威胁信息时,可通过新增情报指标记录威胁信息,以便安全负责人可以快速采取措施来保护其人员、信息和资产,加快威胁检测和修正。
- 编辑情报指标:当情报指标的威胁度、状态、责任人等参数信息发生变化时,支持编辑情报指标,修改情报指标信息。
- 关闭或删除情报指标:当确认情报指标对应的威胁已消除,可关闭情报指标。当确认情报指标信息有误或情报指标所描述的威胁场景不存在,可删除情报指标,情报指标删除后不可找回,请谨慎操作。
- 导入指标:支持通过情报指标列表方式批量创建情报指标,提高效率。
- 导出指标:通过导出情报指标列表到本地,在本地查看情报指标信息,或者在团队内共享情报指标信息时可执行该操作。
- 查看情报指标:可以查看情报指标的威胁度、发现时间、状态等信息。支持翻页查看或自定义过滤条件筛选情报指标。
情报指标类型
安全云脑支持的情报指标类型有IPv6、URL、邮件、域名、IPv4、其他(文件、漏洞、弱口令等)。新增情报指标时可配置“类型”。
父主题: 情报管理