威胁情报模块主要通过识别原始日志中与威胁情报相关的进行提取和专项展示，主要从http、dns、tcp这三类原始日志中进行提取分析。该模块区分两种场景，本地检测和本地+云端订阅查询，单纯本地检测不需要独立授权，使用云查时需要购买独立授权，下图为有云查时的效果展示。

实时检测播报页面的使用和数据元素可参考“云端订阅中心”章节介绍。

 告警展示 

威胁情报类专项可以统一展示本地和云端通过原始日志生成的威胁情报类安全告警，协助用户发现内网的僵木蠕类威胁情报威胁，页面如下图所示。

 告警查看 

在[威胁专项分析/威胁情报]页面可以根据威胁情报检出来源(云端或者本地)、命中的受害资产类型(服务器或者终端)以及资产攻击数TOP5全局查看，点击后可以根据条件筛选列表展示，示例如下图所示。

在安全告警列表中每一条告警列表可以展示：威胁类型、攻击阶段、威胁等级、受害者IP、受害资产类型、攻击者IP、攻击次数、结果、威胁情报等属性，其中：

• 威胁类型：属于安全告警威胁类型的一个子集，主要包括僵木蠕类的威胁子类。

• 威胁等级：分为高威胁、中威胁、低威胁；

• 受害者资产类型：分为服务器资产和终端资产；

• 攻击次数：表示该安全告警关联的安全日志个数；

• 结果：分为失陷、成功、失败、尝试这四类；

• 威胁情报：包括URL和域名。

除此外还有其他更多属性可供手动勾选按需来显示，如下图所示。

列表分类和升降序排列查看

在告警列表的属性中，但是有“ ”可以进行该属性的值分类排序并在弹出的页面中，点击“ ”可继续下钻查询。示例如下图所示。

标识“ ”的属性都支持升序降序查询，示例对攻击次数降序查询如下图所示。

单个安全告警详情

选中某个威胁情报安全告警后，点击<威胁描述>列的具体名称下钻到<告警详情>页面，分为告警摘要、告警详情、原始日志列表、处置建议等子页面，告警详情包括处置状态、威胁等级、数据来源、命中规则、攻击阶段、基本详情等维度信息，如下图所示。

告警摘要

可以看到告警的处置状态、威胁类型、威胁等级、数据来源、所处的攻击阶段等，如下图所示。

告警详情

展示攻击发起方向、源IP、目的IP、中间代理等、最近一条告警日志详情和对应数据包等信息，如下图所示。

命中规则

可以看到该事件关联的规则ID列表，包括规则ID、规则名称、检测引擎、威胁类型、威胁等级、ATT&CK攻击图谱中关联的类别等，如下图所示。

点击“规则ID”值，页面会跳转到[系统设置/安全能力配置/安全告警/事件检测引擎]页面该规则的信息，并再次基础上可以进行规则详情查看或编辑等操作，如下图所示。

原始日志列表

原始日志列表查看告警关联的日志列表，如下图所示。

点击“描述”字段内容可以跳转到该条原始日志信息，提高研判效率，如下图所示。

点击<前往日志检索>会跳转到日志检索页面，自动筛选出该告警关联的日志信息，如下图所示。

处置建议

基于该告警的原理、风险危害等信息给出排查建议、处置建议和日常维护建议，如下图所示。

告警处置 

联动处置

在威胁情报专项分析页面告警列表，点击<>联动处置图标，进入到联动处置导航，可以根据策略进行联动，如下图所示。

示例以内置的封锁源IP策略为例，如下图所示。

点击<下一步>，选择关联的设备，配置封锁时长等参数，点击<执行>，如下图所示。

其中：

• 设备IP：可以看到具体实例名称以及对应的IP地址，默认全选，也可以根据情况手动调整，这些实例都是通过[系统设置/设备管理/联动响应]页面的信息对应。

• 源IP：要封锁的源IP地址，会自动填充；

• 封锁时长：可以下拉天/小时/分钟等不同颗粒度配置；

执行后会弹出<执行成功>提示窗口。

如果需要对联动处置的执行结果进行查看，可以在[处置中心/处置记录]查看相应策略的执行历史，如下图所示。

手工处置

手工处置包括告警批量处置、单个告警处置，下面分别说明。

1.批量处置

下拉<批量操作>菜单，也可以根据列表进行选择并批量进行处置，如下图所示。

2. 单个处置

选中某个安全告警，点击< >，进行手工处置，包括：处置中、已处置、挂起、加白四个选项，如下图所示。