Illuminate内容中心
Illuminate内容中心展示所有Illuminate内容包,包括已启用的内容包和可供启用的内容包。新发布的内容包及已更新的现有内容包会自动出现在列表顶部。
新内容与版本检查间隔
通过选择以下路径进入Illuminate内容中心: 企业版 > Illuminate 。当新的Illuminate内容包发布时,它们会自动出现在可用内容包列表中。新增和更新的内容包会排序在列表顶部并标注:
-
新增 - 显示可添加的新Illuminate内容包
-
更新 - 显示已有Illuminate内容包的新版本更新
默认情况下,
安全数据湖
每12小时检查一次新内容。如需调整此间隔,可修改
illuminate_hub_new_version_check_interval
参数(位于
server.conf文件
中)。关于如何更新
server.conf
的说明,请参阅
安全数据湖
服务器配置文档。
该参数值以持续时间格式设置,例如12h(12小时)或2d(2天)均为有效值。最小可设置间隔为12小时。若需关闭内容检查,请将该值设为0s。对于物理隔离或存在其他安全要求的环境,使用0s设置将激活 手动上传页面 按钮,允许您手动更新Illuminate内容。
查找内容包
内容中心在 企业版 > Illuminate 路径下提供多种可选内容包。点击列表中任意内容包可查看详情,描述部分会说明该内容包提供的日志类型或其他增强功能。详情面板还会显示依赖项,例如 安全数据湖 版本要求及其他需要同时启用的内容包。
要为您的环境查找特定内容包,可在搜索栏输入关键词并应用筛选器。可用筛选条件包括:
-
状态 - 切换显示环境中已启用或已禁用的内容包。
-
新增 - 选择True显示包含新内容的内容包,False则仅显示未标记为新增的包。
-
类型 - 筛选查看所有处理类或所有Spotlight类内容包。
-
标签 - 从列表中选择一个标签,该标签代表 MITRE战术分类 。您也可以在筛选器的搜索栏中输入特定术语或战术编号,以查看是否有匹配的Illuminate内容。
如需查找特定内容包,请在搜索框中输入标题或关键词。您还可以结合筛选器使用搜索功能,以更精准定位结果。
启用内容包
为您的环境启用内容包:
-
在列表中找到要安装的包,然后勾选左侧的复选框。所选包将被添加到右侧的 “已选包”侧边栏 中。
-
(可选)如需安装多个包,可继续添加其他包。每个包都会被添加到 “已选包” .
-
点击 “安装包” .
-
确认所选包及其依赖项是否正确。对话框会显示您选择的每个包。若某包存在依赖项,可展开该行查看具体要求。当依赖项是其他内容包时,可在此处勾选以将其加入安装列表。
注意
Illuminate允许安装不含必需依赖项的内容包。例如,您可在未启用必备处理包的情况下安装聚焦包。但若无依赖包,该包将无法发挥作用。因此建议同时安装相关包。
-
点击 “确认” 开始安装。屏幕将显示安装进度。全部安装完成后,界面将返回内容中心。
注意
若您启用了多个存在内容更新的包,安装新包或更新现有包时,所有包将同步至最新版本。
禁用包
如需禁用内容包,操作流程与启用类似。请按以下步骤:
-
在列表中找到要禁用的包,勾选左侧复选框。所选包将被添加到右侧的 “已选包” 侧边栏中。您可利用 “状态” 筛选器仅显示已启用的包。
-
(可选)若计划禁用多个内容包,可在此添加额外包。每个包将被加入 已选内容包 .
-
点击 卸载内容包 .
-
请确认所选包正确无误。对话框将显示您选择的所有包。若某包存在依赖的内容包,您可选择一并禁用。例如:禁用处理包时,应同时禁用关联的聚焦包。
-
点击 确认 以卸载内容包。屏幕将显示卸载进度。所有包禁用完成后,界面将返回 内容中心 .