- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
09-威胁情报
本章节下载: 09-威胁情报 (104.17 KB)
威胁情报
威胁情报是包含了上下文信息的关于威胁的知识。通过威胁情报可以识别渗透、数据盗取等网络安全事件,以及攻击者的动机、攻击过程及所用设施等。 威胁情报通过与关联规则联动可快速检测出可疑流量,以便管理员提前判断是否需要在网络中增强相关安全防护能力。
本章包含如下内容:
· IP情报
· 域名情报
· URL情报
· MD5情报
该功能用于展示IP情报信息。系统支持预定义和自定义IP情报。其中,预定义情报由系统获取H3C官网上最新的情报库生成,自定义情报通过用户手动添加或导入的方式生成。
该功能用于查询预定义IP情报信息,同时支持启用或停用预定义情报。
·
查询情报:输入IP地址后单击<查询>按钮即可查看相应的IP情报信息,单击操作列的
按钮可查看该情报的详细信息。
· 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
· 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
用户可对自定义情报执行以下操作:
· 新增情报:单击<新增>按钮进入新增自定义IP情报页面,配置相关参数后单击<确认>按钮完操作。
· 查询情报:输入IP后单击<查询>按钮即可查看相应的IP情报信息。
· 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
· 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
· 批量导入情报:单击<导入>按钮,选择“自定义IP情报导入模板下载”下载导入模板,按模板要求填写情报信息后保存配置,并将保存后的模板文件导入到系统即可。导入结果可在“操作结果”中查看。
·
删除情报:选中多条自定义情报信息,单击页面中的<删除>按钮可批量删除自定义情报;单击操作列的
按钮可删除选中的情报。
新增自定义情报参数说明:
· IP地址:用于对网络流量进行过滤。
· 情报类型:该IP地址对应的攻击分类。
· 方向:该IP地址被标识为特定攻击时的匹配方向,包括源、目的及双向。
· 可靠度:该自定义IP情报的准确度,值越大准确度越高。
· 情报状态:选择是否启用该自定义情报。
· 停用情报后,该情报将立刻失效,但不影响停用前匹配该情报的报文统计信息。
该功能用于展示域名情报信息。系统支持预定义和自定义域名情报。其中,预定义情报由系统获取H3C官网上最新的情报库生成,自定义情报通过用户手动添加或导入的方式生成。
该功能用于查询预定义域名情报信息,同时支持启用或停用预定义情报。
·
查询情报:输入域名后单击<查询>按钮即可查看相应的域名情报信息,单击操作列的按钮可查看该情报的详细信息。
· 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
· 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
该功能用于管理自定义情报,用户可对自定义情报执行以下操作:
· 新增情报:单击<新增>按钮进入新增自定义域名情报页面,配置相关参数后单击<确认>按钮完操作。
· 查询情报:输入域名后单击<查询>按钮即可查看相应的域名情报信息。
· 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
· 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
· 批量导入情报:单击<导入>按钮,选择“自定义域名情报导入模板下载”下载导入模板,按模板要求填写情报信息后保存配置,并将保存后的模板文件导入到系统即可。导入结果可在“操作结果”中查看。
·
删除情报:选中多条自定义情报信息,单击页面中的<删除>按钮可批量删除自定义情报;单击操作列的
按钮可删除选中的情报。
新增自定义情报参数说明:
· 域名:用于对网络流量进行过滤,不包含http://或者https://协议头。
· 情报类型:该域名对应的攻击分类。
· 可靠度:该自定义域名情报的准确度,值越大准确度越高。
· 情报状态:选择是否启用该自定义情报。
· 停用情报后,该情报将立刻失效,但不影响停用前匹配该情报的报文统计信息。
该功能用于展示URL情报信息。系统支持预定义和自定义URL情报。其中,预定义情报由系统获取H3C官网上最新的情报库生成,自定义情报通过用户手动添加或导入的方式生成。
该功能用于查询预定义URL情报信息,同时支持启用或停用预定义情报。
·
查询情报:输入URL后单击<查询>按钮即可查看相应的URL情报信息,单击操作列的按钮可查看该情报的详细信息。
· 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
· 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
该功能用于管理自定义情报,用户可对自定义情报执行以下操作:
· 新增情报:单击<新增>按钮进入新增自定义URL情报页面,配置相关参数后单击<确认>按钮完操作。
· 查询情报:输入URL后单击<查询>按钮即可查看相应的URL情报信息。
· 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
· 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
· 批量导入情报:单击<导入>按钮,选择“自定义URL情报导入模板下载”下载导入模板,按模板要求填写情报信息后保存配置,并将保存后的模板文件导入到系统即可。导入结果可在“操作结果”中查看。
·
删除情报:选中多条自定义情报信息,单击页面中的<删除>按钮可批量删除自定义情报;单击操作列的按钮可删除选中的情报。
新增自定义情报参数说明:
· URL:用于对网络流量进行过滤,不包含http://或者https://协议头。
· 情报类型:该URL对应的攻击分类。
· 可靠度:该自定义URL情报的准确度,值越大准确度越高。
· 情报状态:选择是否启用该自定义情报。
· 停用情报后,该情报将立刻失效,但不影响停用前匹配该情报的报文统计信息。
该功能用于展示MD5情报信息。系统支持预定义和自定义MD5情报。其中,预定义情报由系统获取H3C官网上最新的情报库生成,自定义情报通过用户手动添加或导入的方式生成。
该功能用于查询预定义MD5情报信息,同时支持启用或停用预定义情报。
· 查询情报:输入MD5值后单击<查询>按钮即可查看相应的MD5情报信息。
· 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
· 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
该功能用于管理自定义情报,用户可对自定义情报执行以下操作:
· 新增情报:单击<新增>按钮进入新增自定义MD5情报页面,配置相关参数后单击<确认>按钮完操作。
· 查询情报:输入MD5后单击<查询>按钮即可查看相应的MD5情报信息。
· 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
· 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
· 批量导入情报:单击<导入>按钮,选择“自定义MD5情报导入模板下载”下载导入模板,按模板要求填写情报信息后保存配置,并将保存后的模板文件导入到系统即可。导入结果可在“操作结果”中查看。
·
删除情报:选中多条自定义情报信息,单击页面中的<删除>按钮可批量删除自定义情报;单击操作列的按钮可删除选中的情报。
新增自定义情报参数说明:
· MD5值:恶意文件MD5值,格式为32位16进制字符串。
· 家族名称:MD5值对应的病毒家族名称。
· 危害等级:该MD5值对应的危害等级,值越大危害越高。
· 情报状态:选择是否启用该自定义情报。
· 停用情报后,该情报将立刻失效,但不影响停用前匹配该情报的报文统计信息。
· MD5情报仅支持精确查询,不支持模糊查询。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
