名单库策略提升检测效率-凯发k8国际娱乐官网入口

场景说明

mtdk8凯发的服务支持添加所有服务发现的情报/白名单ip或域名至名单库，添加后mtd将优先关联检测名单库中的ip或域名，及时发现（情报）/忽略（白名单）名单库中ip/域名地址的活动，降低检测响应时间，提升检测效率，减轻mtd运行负载。

如果目标ip或域名同时出现在情报和白名单中，因白名单优先级更高，因此目标ip或域名检测时将会直接被忽略。

前提条件

• 因mtd服务添加的情报/白名单是从obs桶添加至mtd服务，因此在mtd服务添加情报/白名单时，需要添加的情报/白名单对象文件需已上传至obs桶中，obs桶上传对象操作详情请参见。
• 由于mtd添加的情报/白名单仅支持plaintext格式，因此obs桶上传的对象需按照plaintext格式编写。plaintext格式编写详情请参见如何编辑plaintext格式的对象？。

情报：也称作黑名单，指受访问时被禁止的ip或域名。

操作步骤

1. 。
2. 在左侧导航树中，单击，选择“安全与合规>威胁检测服务”，进入威胁检测服务界面，选择“设置>威胁情报”，按照图1所示。
   图1 进入威胁情报页面
   
3. 添加情报/白名单。
   1. 添加情报。
      1. 选择“情报 > 添加情报”，弹出“添加情报”对话框，如图2所示，相关参数如表1所示。
         图2 添加情报
         

         表1 情报参数说明

         参数名称	参数说明	取值样例
         文件名称	添加的情报文件名称，建议自定义。	blacklist
         对象类型	选择需要从obs桶添加至mtd服务的对象文件类型。 ip：服务将基于您情报内的ip地址进行威胁检测。 域名：服务将基于您情报内的域名进行威胁检测。 添加至mtd情报后，威胁检测服务将优先关联检测情报内的ip或域名，对日志中存在相似的情报信息快速生成告警。	ip
         桶名称	对象文件所在的obs桶名称。 说明： 如果没有可选择的obs桶，可单击“查看/创建桶”，进入对象存储服务管理控制台，查看/创建obs桶，更多详细操作请参见。	obs-mtd-bejing4
         对象名称	桶内存储情报信息的对象名称。 须知： 填写对象名称时文件扩展名也需要填写。	mtd-blacklist-ip.txt
         存储路径	情报在obs桶的存储路径。	obs://obs-mtd-beijing4/mtd-blacklist-ip.txt

      2. 确认信息无误，单击“确定”，导入的文件显示在情报列表，表示情报导入成功。
   2. 添加白名单。
      1. 选择“白名单 > 添加白名单”，弹出“添加白名单”对话框，如图3所示，相关参数如表2所示。
         图3 添加白名单
         

         表2 白名单参数说明

         参数名称	参数说明	取值样例
         文件名称	添加的白名单文件名称，建议自定义。	securitylist
         对象类型	选择需要从obs桶添加至mtd服务的对象文件类型。 ip：服务将基于您白名单内的ip地址进行威胁检测。 域名：服务将基于您白名单内的域名进行威胁检测。 添加至mtd白名单后，威胁检测服务将优先关联检测白名单内的ip或域名，对日志中存在关联的白名单信息进行忽略。	ip
         桶名称	对象文件所在的obs桶名称。 说明： 如果没有可选择的obs桶，可单击“查看/创建桶”，进入对象存储服务管理控制台，查看/创建obs桶，更多详细操作请参见。	obs-mtd-bejing4
         对象名称	桶内存储情报信息的对象名称。 须知： 填写对象名称时文件扩展名也需要填写。	mtd-securitylist-ip.txt
         存储路径	情报在obs桶的存储路径。	obs://obs-mtd-beijing4/mtd-securitylist-ip.txt

      2. 确认信息无误，单击“确定”，导入的文件显示在白名单列表，表示白名单导入成功。
4. 在“威胁情报”页面，选择“情报”或“白名单”页签，可查看已添加的情报/白名单详情列表，如图4/图5所示。
   图4 情报列表
   
   图5 白名单列表
   

添加情报示例