【应用场景】
除威胁情报特征库包含的威胁情报外,系统允许用户导入自行收集到的恶意情报信息。威胁情报检测时优先匹配用户自定义的威胁情报,命中自定义威胁情报的数据将被阻断并记录安全日志。
自定义威胁情报在未授权状态下依然可用于匹配检测。
1. 手动配置自定义威胁情报
(1) 点击[策略]>>[安全防护]>>[威胁情报]>>[自定义威胁情报]菜单项。
(2) 点击<新增>,进入[新增自定义威胁情报类型]页面。
(3) 配置自定义威胁情报的相关配置项。
配置项 |
说明 |
配置方法 |
名称 |
自定义威胁情报的名称 |
不能包含字符:`~!#%^&*+\|{};:'"/<>?和空格。 [示例] 木马 |
启用状态 |
是否启用该威胁情报,被禁用的威胁情报不会用于检测匹配 |
[示例] 启用 |
情报类型 |
● 出站情报:对报文的目的IP和DNS请求的域名进行出站检测 ● 入站情报:对报文的源IP进行入站检测 |
[示例] 出站情报 |
出站情报 |
||
IP或域名 |
需要检测并拦截的目的IP或DNS查询域名 |
● 配置多个IPv4地址或域名时,每行输入一个IPv4地址或域名,行之间用回车分隔。 ● 域名匹配支持完全匹配和后缀匹配。 ○ 完全匹配:输入完整的域名,如:www.ruijie.com ○ 后缀匹配:输入不完整域名,头部用星号代替如:*.ruijie.com |
入站情报 |
||
IP地址 |
需要检测并拦截的源IP地址 |
配置多个IPv4地址时,每行输入一个IPv4地址,行之间用回车分隔。 [示例] 157.148.69.74 157.148.69.75 |
(4) 点击<保存>完成配置。
2. 导入自定义威胁情报
【应用场景】
用户有大量自定义情报需要新增时,建议按照提供的模板填入情报信息后,批量一键导入。
【操作步骤】
(1) 点击[策略]>>[安全防护]>>[威胁情报]>>[自定义威胁情报]菜单项。
(2) 点击<导入>,弹出[导入文件]对话框。
(3) 支持三种模板文件格式,点击<下载CSV模板>、<下载XLS模板>或<下载XLSX模板>,下载对应导入模板。
(4) 按照模板样例,填入威胁情报信息。回到Web页面,点击<浏览>,上传配置文件。
(5) 点击<确认>,上传导入文件,完成导入。
【后续处理】
l 点击<编辑>,可修改自定义威胁情报的信息。
l 点击<删除>,可删除自定义威胁情报配置。
l 点击
,可设置是否启用自定义威胁情报。
l 勾选相同启用状态的自定义威胁情报,点击<启用>、<禁用>,可批量设置启用或禁用威胁情报。
l 勾选自定义威胁情报,点击<导出>,可将自定义的威胁情报导出保存至本地进行查看,且后续可导入其他设备。