威胁导入
最后更新于:
在本页面
威胁导入功能允许您将威胁源数据从CSV文件导入EventLog Analyzer。这将帮助用户轻松添加任何第三方威胁数据,EventLog Analyzer会处理文件中的威胁源数据以实现威胁告警。
注意:CSV文件的首列应包含威胁源列表。下载示例CSV文件。
如何添加威胁导入文件
- 若需添加威胁源以实现威胁告警功能,请将文件放置于<Dir>\EventLog Analyzer\data\za\threatfeeds\ThreatImport\Import文件夹中。
- ThreatImport目录中的文件处理完成后将被删除。若存在未删除文件,可能表明发生异常。请查阅日志文件获取详情,并联系eventloganalyzer-support@manageengine.com获取技术支持。
注意:若需移除特定威胁源的告警标记,请将包含待删除威胁源的文件放置于<Dir>\EventLog Analyzer\data\za\threatfeeds\ThreatImport\Delete文件夹中。
威胁导入计划设置
- 计划任务功能可帮助用户每日自动从指定位置导入威胁数据文件,确保威胁源持续更新并保持最新状态。通过将<dir>\EventLog Analyzer\conf\EventLogAnalyzer\threat文件夹\threatstore.properties文件中的threat .import.schedule.enable属性值从"false"改为"true",即可启用威胁导入计划任务。
- 计划任务将于每日上午8:00运行,处理存放于对应ThreatImport文件夹下的文件。
- 用户可通过将<dir>\EventLog Analyzer\conf\EventLogAnalyzer\threat文件夹\threatstore.properties文件中的 threat.import.schedule.enable属性值改回"false"来禁用威胁计划。
- 若threat.import.schedule.enable属性键值从 "false" 改为 "true",则必须重启产品。
- 重新启动产品将立即触发威胁导入操作,无需等待上午 8:00 的计划任务。
- 在产品日志文件中搜索ThreatImportHandler,即可找到与威胁导入功能相关的条目。