跳至主内容

Illuminate内容中心

Illuminate内容中心展示所有Illuminate内容包,包括已启用的内容包和可供启用的内容包。新内容包及已更新的现有内容包会自动出现在列表顶部。

新内容与版本检查间隔

通过选择以下路径进入Illuminate内容中心 企业版 > Illuminate 当新的Illuminate内容包发布时,它们会自动包含在此处的可用包列表中。新增和更新的内容包会排序在列表顶部,并标注为:

  • 新增 - 显示可添加的新Illuminate内容包。

  • 更新 - 显示已有Illuminate内容包中可供更新的新内容。

默认情况下, 安全数据湖 每12小时检查一次新内容。如需调整间隔时间,可修改 illuminate_hub_new_version_check_interval 属性(位于 server.conf文件 中)。关于如何更新 server.conf 的信息,请参阅 安全数据湖 服务器配置文档。

该属性值以时间跨度表示,例如12h(12小时)或2d(2天)均为有效值。最短可设置间隔为12h。若需关闭内容检查,请将该值设为0s。对于物理隔离或具备特殊安全要求的环境,使用0s设置可启用 手动上传页面 按钮,以便手动更新Illuminate内容。

查找内容包

内容中心在 企业版 > Illuminate 路径下提供多种可选内容包。点击列表中任意内容包可查看详情,描述部分会说明该包提供的日志类型或其他增强功能。详情面板还会显示依赖项,例如 安全数据湖 版本要求及需要同时启用的其他内容包。

若要查找适合您环境的特定内容包,可在搜索栏输入关键词,也可应用筛选器。可用筛选条件包括:

  • 状态 - 通过此筛选器切换显示在您环境中已启用或禁用的内容包。

  • 新建 - 选择“True”显示包含新内容的内容包,或选择“False”仅显示未标记为新的内容包。

  • 类型 - 使用此筛选器查看所有“处理”类或所有“聚焦”类内容包。

  • 标签 - 从列表中选择一个标签,该标签代表 MITRE战术分类 。您还可以在筛选器的搜索栏中输入特定术语或战术编号,以查看是否有匹配的Illuminate内容。

如需查找特定内容包,请在搜索框中输入标题或关键词。您还可以结合筛选器进行搜索以更精准定位结果。

启用内容包

为您的环境启用内容包的步骤:

  1. 在列表中找到要安装的内容包,勾选左侧的复选框。所选内容包将添加到右侧的 “已选内容包”侧边栏 中。

  2. (可选)如需安装多个内容包,可继续添加其他包。每个包都会添加到 “已选内容包” .

  3. 点击 “安装包” .

  4. 确认所选包及其依赖项是否正确。对话框会显示每个已选包。若某包存在依赖项,可展开该行查看具体要求。当依赖项是其他内容包时,可在此处勾选以将其加入安装列表。

    注意

    Illuminate允许安装不含必需依赖项的内容包。例如,您可在未启用必备处理包的情况下安装聚焦包。但若无依赖包,该包将无法正常使用。因此建议同时安装相关包。

  5. 点击 “确认” 开始安装。界面将显示安装进度。全部安装完成后,系统将返回内容中心。

注意

若您启用的多个包存在可用更新,则安装新包或更新现有包时,所有包将同步更新至最新版本。

禁用内容包

如需禁用内容包,操作流程与启用类似。步骤如下:

  1. 在列表中找到需要禁用的内容包,然后勾选左侧的复选框。所选内容包将被添加到 已选内容包 右侧边栏中。注意:您可以使用 状态 筛选器仅显示已启用的内容包。

  2. (可选)如需禁用多个内容包,可继续添加其他内容包。每个内容包都会加入 已选内容包 .

  3. 点击 卸载内容包 .

  4. 确认所选内容包无误。对话框会显示您选择的所有内容包。若某个内容包存在依赖项(如另一个内容包),您可选择一并禁用。例如:禁用处理包时,建议同时禁用关联的聚焦包。

  5. 点击 确认 开始卸载。屏幕将显示卸载进度。所有内容包禁用完成后,界面将返回 内容中心 .

本节内容 :