新增或编辑情报指标
操作场景
情报指标库呈现当前您的所有指标信息。
本章节主要介绍如何新建或编辑情报指标。
新增情报指标
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域和项目。 - 在页面左上角单击
,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 - 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
图1 进入目标工作空间管理页面
- 在左侧导航栏选择,进入情报管理页面。
图2 情报管理页面
- 在情报管理页面单击“新增”,并在右侧弹出的新增情报管理页面中配置参数。
表1 指标参数说明 参数
说明
指标名称
自定义威胁情报指标名称,命名规则如下:
可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_ ())。
类型
选择指标类型。
威胁度
选择威胁度等级。
- 黑:表示危险
- 灰:表示一般
- 白:表示安全
数据源产品名称
选择数据源产品的名称。
数据源类型
选择数据源所属类型,可选择以下类型:云服务、第三方产品、租户私有产品。
状态
选择指标状态,可选择以下状态:打开、关闭、作废。
置信度
填选指标的可信度,范围为80~100。
责任人
选择该条指标的主要责任人。
标签
自定义指标的标签。
首次发生时间
选择该条指标首次发生时间。
最近发生时间
选择该条指标最近一次发生的具体时间。
失效时间
选择该指标的失效时间。
是否失效
选择是否失效该条指标。默认为“否”。
粒度
选择该指标的粒度,可选择以下粒度:首次发现、自产数据、需购买、外网直接查询。
显示名称
当“类型”选择“邮件”时,可以自定义配置邮件的显示名称。
家族
当“类型”选择“域名”时,可以自定义配置域名所属家族。
邮箱账户
当“类型”选择“IPv6”、“IPv4”、“邮件”或“域名”时,可以自定义配置邮箱账户信息。
地区
当“类型”选择“IPv6”或“IPv4”时,可以自定义配置IP地址所属地区。
URL
当“类型”选择“URL”时,可以自定义配置URL信息。
DNS类别
当“类型”选择“域名”时,可以自定义配置域名的DNS类别。
描述
自定义配置指标的描述信息。
值
填写指标的值,如IP、URL、Domain等。
- 单击“确认”。
编辑情报指标
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域和项目。
- 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
- 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
图3 进入目标工作空间管理页面
- 在左侧导航栏选择,进入情报管理页面。
图4 情报管理页面
- 在情报管理页面中,单击目标情报所在行“操作”列的“编辑”,右侧弹出编辑情报页面。
- 在弹出的编辑情报指标页面中,编辑指标参数。
表2 指标参数说明 参数
说明
指标名称
自定义威胁情报指标名称,命名规则如下:
可输入中文字符、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_ ())。
类型
选择指标类型。
威胁度
选择威胁度等级。
- 黑:表示危险
- 灰:表示一般
- 白:表示安全
数据源产品名称
选择数据源产品的名称,不支持修改。
数据源类型
选择数据源所属类型,不支持修改。
状态
选择指标状态,可选择以下状态:打开、关闭、作废。
置信度
填选指标的可信度,范围为80~100。
责任人
选择该条指标的主要责任人。
标签
自定义指标的标签。
首次发生时间
选择该条指标首次发生时间。
最近发生时间
选择该条指标最近一次发生的具体时间。
失效时间
选择该指标的失效时间。
是否失效
选择是否失效该条指标。默认为“否”。
粒度
选择该指标的粒度,可选择以下粒度:首次发现、自产数据、需购买、外网直接查询。
MD5
自定义填写情报指标的MD5值。
SHA1
自定义填写情报指标的SHA1值。
SHA256
自定义填写情报指标的SHA256值。
文件类型
自定义填写情报指标的文件类型。
编译时间
自定义填写情报指标的编译时间。
文件名
自定义填写情报指标的文件名。
文件mime类型
自定义填写情报指标的文件mime类型。
家族
自定义填写情报指标的所属家族信息。
类别
自定义填写情报指标的类别。
- 单击“确认”。
