更新时间:2025-02-26 GMT+08:00
分享

新增或编辑情报指标

操作场景

情报指标库呈现当前您的所有指标信息。

本章节主要介绍如何新建或编辑情报指标。

新增情报指标

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  5. 在左侧导航栏选择威胁管理 > 情报管理,进入情报管理页面。

    图2 情报管理页面

  6. 在情报管理页面单击“新增”,并在右侧弹出的新增情报管理页面中配置参数。

    表1 指标参数说明

    参数

    说明

    指标名称

    自定义威胁情报指标名称,命名规则如下:

    可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_ ())。

    类型

    选择指标类型。

    威胁度

    选择威胁度等级。

    • 黑:表示危险
    • 灰:表示一般
    • 白:表示安全

    数据源产品名称

    选择数据源产品的名称。

    数据源类型

    选择数据源所属类型,可选择以下类型:云服务、第三方产品、租户私有产品。

    状态

    选择指标状态,可选择以下状态:打开、关闭、作废。

    置信度

    填选指标的可信度,范围为80~100。

    责任人

    选择该条指标的主要责任人。

    标签

    自定义指标的标签。

    首次发生时间

    选择该条指标首次发生时间。

    最近发生时间

    选择该条指标最近一次发生的具体时间。

    失效时间

    选择该指标的失效时间。

    是否失效

    选择是否失效该条指标。默认为“否”。

    粒度

    选择该指标的粒度,可选择以下粒度:首次发现、自产数据、需购买、外网直接查询。

    显示名称

    “类型”选择“邮件”时,可以自定义配置邮件的显示名称。

    家族

    “类型”选择“域名”时,可以自定义配置域名所属家族。

    邮箱账户

    “类型”选择“IPv6”“IPv4”“邮件”“域名”时,可以自定义配置邮箱账户信息。

    地区

    “类型”选择“IPv6”“IPv4”时,可以自定义配置IP地址所属地区。

    URL

    “类型”选择“URL”时,可以自定义配置URL信息。

    DNS类别

    “类型”选择“域名”时,可以自定义配置域名的DNS类别。

    描述

    自定义配置指标的描述信息。

    填写指标的值,如IP、URL、Domain等。

  7. 单击“确认”

编辑情报指标

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图3 进入目标工作空间管理页面

  5. 在左侧导航栏选择威胁管理 > 情报管理,进入情报管理页面。

    图4 情报管理页面

  6. 在情报管理页面中,单击目标情报所在行“操作”列的“编辑”,右侧弹出编辑情报页面。
  7. 在弹出的编辑情报指标页面中,编辑指标参数。

    表2 指标参数说明

    参数

    说明

    指标名称

    自定义威胁情报指标名称,命名规则如下:

    可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_ ())。

    类型

    选择指标类型。

    威胁度

    选择威胁度等级。

    • 黑:表示危险
    • 灰:表示一般
    • 白:表示安全

    数据源产品名称

    选择数据源产品的名称,不支持修改

    数据源类型

    选择数据源所属类型,不支持修改

    状态

    选择指标状态,可选择以下状态:打开、关闭、作废。

    置信度

    填选指标的可信度,范围为80~100。

    责任人

    选择该条指标的主要责任人。

    标签

    自定义指标的标签。

    首次发生时间

    选择该条指标首次发生时间。

    最近发生时间

    选择该条指标最近一次发生的具体时间。

    失效时间

    选择该指标的失效时间。

    是否失效

    选择是否失效该条指标。默认为“否”。

    粒度

    选择该指标的粒度,可选择以下粒度:首次发现、自产数据、需购买、外网直接查询。

    MD5

    自定义填写情报指标的MD5值。

    SHA1

    自定义填写情报指标的SHA1值。

    SHA256

    自定义填写情报指标的SHA256值。

    文件类型

    自定义填写情报指标的文件类型。

    编译时间

    自定义填写情报指标的编译时间。

    文件名

    自定义填写情报指标的文件名。

    文件mime类型

    自定义填写情报指标的文件mime类型。

    家族

    自定义填写情报指标的所属家族信息。

    类别

    自定义填写情报指标的类别。

  8. 单击“确认”

相关文档