简介

核心价值

快速开始

登录系统

界面概览

• 左侧边栏: 威胁情报订阅源列表 (RSS Feeds)。

• 中央区域: 实时情报文章流。点击每条情报右侧的“研判”按钮，可立即对该文章启动 AI 分析。

• 顶部导航: 点击“情报分析工作台”按钮可进入独立分析模式。

• 左侧边栏 (History): 历史分析记录库，支持快速回溯过往报告。

• 中央工作区: 核心交互区域，支持上传 PDF/Markdown 文件或输入 URL 进行分析，并展示 TTPs、攻击链图谱及防御建议等结果。

情报分析流程

第一步：导入情报

• 将 PDF 或 Markdown 文件拖拽至上传区域，或点击选择文件。

• 支持格式: PDF 文档、Markdown (.md) 文本。

• 解析能力: 系统支持 Doc2x (默认) 或 MinerU 解析引擎，精准还原文档结构。

• 切换至“输入链接”标签页。

• 输入文章的 URL 地址，点击“抓取并分析”。

• 预览确认: 系统集成 Jina Reader 自动抓取网页内容并清洗为高质量 Markdown，预览确认无误后开始分析。

• 系统会立即抓取该 RSS 文章全文，并自动进入 AI 分析流程，无需手动上传文件或输入链接。

• 分析完成后，您可直接在工作台查看所有结果，也可在“历史记录”中随时回溯。

第二步：智能分析 (AI Pipeline)

• 文档解析: 提取文本与结构。

• TTP 提取与推理: AI 阅读全文，识别显性及隐性攻击技术。

• IOC 抽取: 搜集 IP、域名、URL 和哈希值。

• 防御生成: 编写针对性的防御剧本 (Playbook)。

• 攻击链构建: 生成可视化的攻击路径图。

• 差距评估: 基于企业画像评估防御覆盖情况。

第三步：查阅分析结果

• 智能摘要: AI 生成的结构化中文摘要，快速了解事件全貌。

• 展示提取出的 MITRE ATT&CK 技术点。

• 区分“显性提取”（蓝色）与“隐性推断”（橙色）。

• 导出 Navigator Layer: 点击右上角按钮，可导出 JSON 文件，直接导入 MITRE ATT&CK Navigator 进行热力图展示。

• 交互式图谱: 展示攻击路径的动态流程图。这是平台的核心视图。我们为您生成了一张动态的攻击路径图。
交互操作: 支持缩放、拖拽平移、全屏查看。
节点详情: 将鼠标悬停在任意节点上，可查看：
技术描述: 该攻击手法的具体定义。
原文证据: AI 判断的依据片段。
推理逻辑: AI 的思考过程（CoT），解释为什么判定为此类攻击。

• Sigma 规则: 标准化的检测规则，可直接导入 SIEM 系统。

• Python 脚本: 针对性的检测或处置脚本。

• 代码复制: 支持一键复制规则代码。

• 列表展示: 自动提取 IP、URL、Domain 和 Hash 值。

• 病毒分析: 点击 IOC 旁的搜索图标，直接跳转至 VirusTotal 查看情报信誉。

• 导出 IOC: 点击表头的下载按钮，可将所有 IOC 导出为文本文件，便于防火墙或 EDR 导入。

• 覆盖度评估: 基于后台配置的企业防御画像，自动评估当前防御体系对攻击技术的覆盖情况（已覆盖/部分覆盖/缺失）。

• 关键防御节点 (Critical Node): 识别攻击链中成本效益最高的阻断点，提供优先防御建议。

• 行业风险评分: 评估该威胁情报针对当前企业所属行业的风险等级。

• 差距矩阵: 详细列出每个 TTP 的防御状态及具体的改进建议。

进阶功能

Chat with Report (智能问答)

• 自由提问: 如“C2 协议特征是什么？”、“列出所有涉及的恶意软件家族”。

• 导出记录: 支持导出当前的对话记录。

• 清空记录: 随时开启新的对话。

原始报告比对

后台管理 (仅管理员)

仪表盘 (Dashboard)

• 查看系统概览，包括用户总数、分析报告总数、API 调用统计等。

• 趋势监控: 查看近期 API 消耗与系统负载趋势。

用户管理 (Users)

• 用户列表: 查看所有注册用户及其状态。

• 创建用户: 添加新的分析师账号。

• 密码重置: 管理员可强制重置用户的登录密码，保障账号安全找回。

• 状态管理: 禁用/启用账号，删除违规账号。

• 头像管理: 为用户设置自定义头像。

环境配置 (Env Config)

• 在线修改系统环境变量（如 API Key、服务端口等），无需重启容器。

• 解析器切换: 支持在两种强大的 PDF 解析引擎间切换 (Doc2X / MinerU)。

• 外部API接口，生成token以供外部系统调用。

字段映射配置 (Field Mapping)

• 自定义映射: 允许用户在设置中上传或编辑自己企业的“字段映射表”（Mapping Scheme）。

• 规范对齐: 通过映射配置，确保系统生成的防御规则（如 Sigma）自动符合企业内部 SIEM 的字段命名规范。

RSS 威胁监控 (RSS & Notification)

• 订阅管理: 添加和管理威胁情报 RSS 源（如 The Hacker News），自定义抓取频率。

• 通知配置:
• 钉钉 Webhook: 配置钉钉机器人地址与安全关键词。
• 关键词监控: 设置敏感关键词（如 "Ransomware"），系统监测到命中标题时自动推送告警。
• 检查频率: 设置系统检查更新与推送通知的间隔。

企业防御画像 (Defense Profile)

• 基础信息: 配置企业所属行业（Industry）及关键资产（Key Assets，如 PII 数据、SWIFT 网关）。

• 安全能力: 勾选企业已部署的安全防御能力（如 NGFW, EDR, SIEM）。

• 差距分析基准: 此配置将作为“防御覆盖度与差距分析”模块的评估基准，请务必准确填写。

系统维护 (Maintenance)

• 系统日志: 查看系统运行日志，排查故障。

• 数据库备份: 一键下载数据库备份文件 (.db)。

• 数据库恢复: 支持上传 .db 文件覆盖当前数据（警告：此操作不可逆）。

• 空间清理: 清理过期的临时文件（如上传的 PDF），释放磁盘空间。

• 清空日志: 定期清理审计日志。

外部 API 接口

鉴权机制 (Authentication)

• Token 生成：
1. 以管理员身份登录系统。
2. 进入 后台管理 -> 环境参数配置。
3. 在页面底部的 “外部 API 访问授权” 区域，选择有效期（30天/90天/1年/永久），点击 “生成新 Token”。
4. 生成后请立即复制并妥善保管，Token 仅在生成时显示一次。

• 使用方式： 支持以下两种传参方式（推荐使用 Header 方式以提高安全性）：
• 方式 A：HTTP Header（推荐）
• 方式 B：URL Query Parameter

接口列表 (Endpoints)

获取研判报告列表

• 接口地址：/reports/list

• 请求方式：GET

• 请求参数：

参数名	类型	必填	说明	示例
start_time	String	否	起始时间 (ISO 8601)	2024-01-01T00:00:00Z
end_time	String	否	结束时间 (ISO 8601)	2024-12-31T23:59:59Z

• 调用示例 (cURL)：

• 响应示例 (JSON)：

获取报告详细数据

• 接口地址：/reports/detail

• 请求方式：GET

• 请求参数：

参数名	类型	必填	说明
id	Number	是	报告 ID (从列表接口获取)

• 调用示例 (cURL)：

• 响应示例 (JSON)：

常见错误码 (Error Codes)

常见问题 (FAQ)

技术支持