启用微步威胁情报后,您可在威胁情报页面查看威胁扫描结果,并集中处理告警事件。本文介绍了威胁情报的使用方法。
前提条件
步骤一:查看威胁情报的统计概览
步骤二:查看威胁情报的告警事件
在威胁情报页面下方,查看今日、近7天或近30天的威胁告警事件列表信息,包括主机、威胁类型、命中IOC、严重级别、命中次数、最近一次发现时间、处置状态等。

执行以下操作,查看告警事件详情。
- 搜索告警事件:根据威胁类型、处置状态(已处置、未处置)或输入主机IP筛选定位到特定的告警事件。
说明 主机IP不支持模糊搜索,请输入准确的主机IP地址。
- 查看告警明细:单击目标主机操作栏下的告警明细,查看目标主机的告警源信息,包括时间、源端口、DNS服务器、DNS端口、DNS查询类型。
- 查看命中的IOC详情:单击目标主机命中IOC栏下的IOC名称查看IOC详情,包括基础信息、IP地址、历史解析记录、子域名、当前注册信息、相关事件、可疑URL、相关样本、下载样本、SSL数字证书。
说明 单击对应配置项页签可展开该配置详情。
- 导出告警事件:单击导出按钮,将检测到的所有告警统一导出并保存CSV文件到本地。
步骤三:处理威胁情报的告警事件
根据威胁告警事件详情,分析定位并处理微步在线检测出的被控主机安全威胁告警事件。
完成处理主机的告警事件后,在告警事件列表定位到该主机,单击主机处置状态栏的按钮,标记主机的威胁告警处置状态为已处置。

在文档使用中是否遇到以下问题
更多建议
匿名提交