编辑函数时，最好点击上面的fx这个东西，回调出参数说明窗口，以及自动添加双引号、补全括号等好处。

添加这项功能：操作说明搜索-搜索加载项-勾选分析工具库即可

添加上之后，会出现在数据栏右上角，常用于描述性统计，一次计算出13个常用的数据项。

xcel免费好用的作图插件：

开发者工具，这个没有的话需要手动在选项中添加，找到加载项-点击蓝色图表-应用商店搜索E2D3，添加上即可，可以制作很多炫酷的动态图表。

即在公式中所引用的单元格会随着公式所在单元格的变化而相应的变化。

即在公式中将所引用的特定单元格进行锁定。
比如公式中的某个值只在某一个单元格里面，
那进行向下填充公式时候就要将这个单元格绝对引用，
在编辑栏点击单元格前后都行，按F4即可添加美元符号，表示绝对引用
在字母前面加$符号表示锁定列，在数字前面加$表示锁定行，两个都加表示锁定这一区域

数据类型-文本型和数字型

分为文本型-输入啥就是啥-无法参与计算

• 常见的单元格前面带个绿三角的就是文本类型数字，自动靠左对齐的日期
• 如身份证的录入，长度为18位，数字类型精度为15位，所以要用文本类型
• 选中这一列-右键-设置单元格格式-选择文本即可

• 本来就是数字类型，那么它可以右键设置单元格格式-转为其他的类型
• 文本类型数字转数字类型，选择文本-出现感叹号-在里面选转换为数字
• 文本型日期转常规型日期，只能通过分列功能，选中文本型日期-数据-分列-直接点击完成即可不用点下一步

伪装成数字类型的文本类型解决方法

• 如一列数字中的某一个数字，右键-设置单元格格式-选则文本-回来之后在单元格再次回车-即可变成文本类型-在旁边的感叹号里面选则忽略错误-并且靠右对齐，伪装成功，外表看不出来，但是它不会参与后续的计算
• 若以上的操作是其他人做的，我们并不知道，所以解决方法就是计算之前-数据-分列-完成，即可将伪装的数字转换为常规的类型，参与后续的计算。 工作中，记得进行分列更改格式，避免隐藏的错误

在公式中文本-常规相互转换

• 在不改变原始数据的情况下：
• 文本-常规：只需给文本*1或加0即可
• 常规-文本：只需给常规加上""英文的双引号即可

• 按人数在表后面添加表头
• 增加辅助列，如图所示：

• 在辅助列任意单元格选中，点击排序-升序即可

高级排序-自定义排序内容

• 已有的排序可以按数字大小、颜色等
• 问题是对汉字的排序是按字母顺序的，处理方法-文件-选项-高级-拉到最后选中编辑自定义列表-输入序列-输入一个按回车继续输入下一个，完成后点击添加即可

• 点击表头-点击筛选按钮即可添加
• 文本即编程中的字符串那些方法
• 两个注意：?和,其中？代表单个任意字符；代表任意个任意字符
• 如果就是要匹配?或*号本身的话，就在其前面加上~即可
• 数字筛选即大于等于等等

• 此处的筛选是指菜单栏中的筛选

• 要筛选处金额排名前三的月份-月份上面的筛选-值筛选-前10项修改为3即可

高级筛选-可表示“或”的关系，等等复杂的关系

• 同行表示且，不同行表示或
• 表示“且”的关系：到空白处添加要筛选的内容带上表头，点击高级筛选在条件区域选中筛选的内容和表头部分即可,如图所示，苏州和彩盒是同一行

• 表示“或”的关系，苏州和彩盒不是同一行

• 这种区间匹配使用vlookup更方便

vlookup函数第四个参数为1，只用于区间匹配

• 其实上面if操作用vlookup更简便，注意要模糊匹配1
• 这也是vlookup函数第四个参数为1时的用处，对数字才用近似匹配
• 对于F列，是一些区间，这几个值分别是几个区间的最小值

分类汇总(菜单栏的一项功能)

• 注意：分类之前一定要先排序，因为它只会把相邻的分到一起
• 源数据与分类汇总的数据在一起，查阅方便，表格的最左侧会出现层级提示，点击即可查看不同层级的汇总情况
• 在分类汇总表上再次分类汇总注意：不要勾选“替换当前分类汇总”
• 取消分类汇总-点击分类汇总-全部删除即可

• 选中要复值的值-开始-查找和替换-定位条件-勾选可见单元格即可，现在CTRL+C 就可以了

• 选中想要放到一个组里面的内容，点击数据-组合
• 也会出现层级关系按钮，点击收起啦和展示出来，添加上表头展示效果会更好

数据-模拟分析-单变量求解

• 目标值确定的情况下，找到输入值
• 这里假如总报价要求是800万，用量不变，费率变不了，找到合适的单价，操作如下：

match查找函数，返回匹配值的相对位置

index函数根据行列索引返回交叉处的值

根据一个值如编号，查找它一行中的所有信息

在工号单元格输入=INDEX(H4:H14,$N$4)，第三个参数不输，完成后向右拖即可，H4:H14是工号列，$N$4是No列

index函数做动态报表-使用滚动条

• 点击滚动条，设置好单元格链接(找一个空白处的单元格即可)
• 每一处需要变动的内容都使用index函数，并且位置也是上面滚动条链接的那个单元格即可
• 最后将那个单元格样式改为白色看不到即可

• 如下N3就是那个单元格

• 参数：条件所在的列，条件所在单元格，求和所在的列，三个参数

• 参数：求和所在列，条件1所在列，条件1，条件2所在列，条件2

• 参数：条件所在列，条件所在单元格，两个参数

不用Excel ，以下网站可以抠图并更换背景

对应excel表中的汇总1和汇总2这两行都是要将他们上面的数据进行求和的，首先选中所有数据，CTRL+G ，在定位条件里面选择空值，然后，在菜单栏选择自动求和即可

直接输入会变成月份日期形式
首先输入零0+空格，再输入即可3/4

将打开的两张工作簿，显示在一个一个窗口里面，方便对比

选择视图>全部重排>垂直即可

打印时保证每一页都有页头
页面布局>打印标题>工作表>顶端标题行，
在这个框里面点击，然后在做左侧选择表头所在行点击即可

页面布局栏右下角>页面设置>页眉页脚>页脚，
一般选‘第几页，共几页’的格式即可

• 在好多编辑器中CTRL+F都表示查找
• CTRL + F即可调出查找和替换，两个在一起，
  点击全部查找，再点击全部替换，
  可以点击右下角选项，有更多的搜索选项

• CTRL+enter 快速填充，选中区域，输入公式，按下快捷键后，所选区域填充同样的公式
• CTRL+;快速输入当前日期
• CTRL+方向键，快速移动单元格
• CTRL+shift+方向键，快速选中数据区域

选中数据框按Alt+=快速求和
单独选横向，可以单独求和，竖向一样

从左往右提取几个字符的内容left(单元格，取几个数)，right函数一样用法

mid函数：从中间提取，mid(单元格，从第几位数开始, 娶几个数)

如身份证号码提取生日：
 

find函数，查找某一字符在数据源单元格里面出现的位置。

配合上面的提取函数可以组合使用
find(要查找的字符，数据源单元格)

求某一单元格字符的长度，配合提取函数可以组合使用

返回单元格所在的行号，‘动态变化的’

=ROW(单元格) - 一个数字，用作序号等

mod取模函数，实现隔行设置样式

countif函数实现分类统计计数

按产品A、B、C、D分别统计销售次数 选中在产品A后面单元格输入countif函数，单击上面的公式编辑栏的fx弹出公式参数说明栏，根据说明选择区域即可。

条件格式：避免重复输入

• 加入要在某一列输入电话号码，为避免重复输入，可以提前选中这一列，然后点击条件格式-重复值
• 则以后若输入了重复值，则重复值所在行会按设置样式显示出来
• 对已有的数据的重复值也可以高亮显示

选中需要设置的数据区域，条件格式>新建规则>使用公式确定单元格格式>编辑如下
这里第一个日期在C1单元格，列相对引用，行绝对引用

输入内容时自动生成边框，删除时自动删除边框

选择数据所在列，条件格式>新建规则>使用公式确定单元格格式>编辑如下
 

• 其实将数据列表设置成表格也行：插入-选择数据透视表后面的表格-确定

先对首行做一个筛选，即点数据>筛选
外层函数CONCATENATE是连接字符的函数，
109表示求和函数，B2到B7是要求和的数据区域

phonetic合并单元格内容到另一单元格

isodd函数判断奇偶，根据身份证得到性别

身份证倒数第二位奇数表示男性
if函数三个参数，第一个条件判断，
第二个参数是为true时返回值，第三个是为false时返回值

lookup函数做库存预警

数据有效性，新版本叫数据验证

当分类较多的时候就不用重复的输入，
简单的设置一下数据的有效性就节省了很多时间
对输入的数据有了规定，或只能从给定的里面选择性输入
有效条件可以是：整数，小数，日期，时间，文本长度，
序列(即写出几个选项,之间用英文逗号隔开)，还可以自定义条件
案例：使用date函数做动态考勤表，年份、月份可选，
配合text函数由日期得到星期
并且配合weekday函数设置了周末的样式，都是动态可变得

• 保证查找值在选区的最左侧一列，所以选择区域时要注意

• 姓名，岗位，地点，工资分别是A、B、C、D列

• 在上表中找到以下人员对应的信息

• 我们知道，vlookup，只能从左边的找到右边的
• 如果从右边的找左边的话，就要配合其他的函数match和index
• match函数负责找位置
• index函数负责取数据
  

• 根据工单号查找销售人员

• 查找昆山彩盒对应的数量

• 增加辅助列：将两个条件使用&符号链接在一起，查询时也一样即可

• 注意公式下拉时使用左键则会将单元格的样式一并复制
• 而使用右键下拉则只会复制公式

N函数对数值类型的值做批注

• 选中要输入内容的区域，输完一格后按tab/enter可以向右或向下移动光标

• 循环填充 填上两个数字按CTRL再向下拖
• 填充序列 选中单元格输入起始值，找到开始-右上角填充-序列-列-步长和终止值
• row()函数根据当前行号再减去一个数字即可

• 某一个单元格要输入的内容是限定的，只能选中
• 选中这个单元格-数据-数据验证-数据验证-设置-选则自定义-在公式中输入内容，中间以逗号隔开，或者选中一些准备好的区域也行。

二级下拉列表-用的时候再说，哈哈哈

• 某些日期如这种不符合规范
• 选中单元格-数据-分列-下一步-下一步-选中日期-完成

数据透视表-看我的知乎专栏excel数据透视表

• 选中数据区域，选择条件格式数据条即可，管理规则里面可以调整数据条的最值

• 选中数据区域，选择条件格式图标集即可，管理规则里面可以调整条件。

• 选中数据区域，选择条件格式重复值即可，可以更改样式。

根据条件突出显示整行数据

• 注意：选中数据时不要选中表头
• 注意：编辑公式中数字(即行号)不绝对索引=$S2="E"

• 插入数据透视表和数据透视图

• 美化表：单击菜单栏右上角“字段按钮”即可取消字段按钮，删掉边上的数据等，加上数据标签

• 添加切片器(比老式筛选器更加直观，切换迅速)，在数据透视图工具-分析-插入切片器

• 美化切片器，选中它，点击菜单栏左上角编辑切片器，取消显示页面即可，将右上角的列改为5，回车，调整它的长短大小，并挑选一种样式。

• 同样的方法创建另一种数据透视图如饼图

• 复制这个新的数据透视图到前面的那个图表所在的sheet,调整一下图表大小，选中切片器-菜单栏左上角报表连接-勾选工作表

• 表的内容可以选中不同的维度，实现分组展现

• 常见的用法是推算日期和日期间隔

• 几天之后，直接与日期相加

• DATEDIF函数是一个excel中隐藏的、但功能非常强大的日期函数，主要用于计算两个日期之间的天数、月数或年数.
• 但是我的excel2016却计算不了，很气人！！！
• 解决方法是，结束日期不要使用函数today(),而是像/p/

威胁情报是发现网络威胁的有效手段。

• 针对流行的恶意代码和攻击，主要依赖基于互联网流量和样本数据生成的威胁情报。
• 针对具有 高度定向性与针对性 的高级威胁，则严重依赖于攻击目标自身的本地化数据与判断能力。

因此，基于内部信息化和业务系统实现 “情报内生”，构建内生安全能力，成为实现和提升高级威胁检测的必要条件。

威胁情报的有效性已得到高度认同

2019年初，美国安全研究机构SANS发布的《威胁情报的演进：2019应用调研报告》显示： 81%的受访者认为威胁情报改善了企业的安全检测与响应能力。这与前一年的60%相比有大幅的增长，这证明威胁情报的有效性得到高度认同。

SANS发布的问卷调查，还对目前威胁情报的生产分布情况做了统计：

根据这份调查，威胁情报生产者和消费者的比例对比中，消费者占大头，平均50-60%；既是生产者又是消费者的占了40%，这个比例比想像的要高。

国内应该以消费者占绝对大头。这并不是说国内机构的安全团队得不到基于自身数据和分析的威胁情报，而是大多还没有进行体系化地管理和分享。

最受欢迎的两类威胁情报：IOC和TTP

我们认为，从获取的难度和稳定性看，狭义的威胁情报有比较明晰的分层结构。由此，奇安信提出了威胁情报的金字塔模型，包括文件样本、主机特征、事件特征、组织和人员等信息。

具体哪些类型的情报最受欢迎呢？

不出意料，IOC最受欢迎 IOC对应威胁情报金字塔最下面的两层。IOC排第一的原因很简单：IOC中的“C”（Compromise）在信息安全的语境下就是”已失陷”的意思，一旦匹配，意味着相关的资产已经被控制，凸显出 现实而紧迫的危险，带来第一优先级的处置需求。在卡巴斯基公司发布的事件响应手册中，IOC成为触发安全响应的最核心来源，没有之一。

排第二位的是攻击对手的TTP信息。这是比IOC要稳定得多的信息类型。“未知攻，焉知防”：了解对手的手法是指导安全防护的基础。

从趋势来看，TTP类的情报受欢迎程度将会持续提高，将来，主动防御的进阶，很可能让TTP的重要性超过IOC。这一变化的动因，在于威胁情报用户会越来越趋向于 防护措施前置：了解出现了哪些新漏洞，有没有相关的设备受影响以及时打上补丁，在攻击利用其导致现实风险前就消除威胁；依据TTP的指导进行攻方假设，进行主动的威胁狩猎。

目前非常热门的ATT&CK框架，本质上就是攻击者的TTP知识库，与此类似的还有NSA NTCTF框架：

需要注意的是，ATT&CK的每个环节里包含的各种手法并不平等，某些手法被使用的频度要远高于其他。以APT攻击的Payload进入渠道为例，通过分析大量的APT攻击活动，我们有如下关于常用攻击手段的统计：

为了保证攻击的定向性，大部分APT攻击使用的鱼叉邮件方式最为主流，其次是水坑方式。 一般来说，对于水坑导过来的侯选攻击目标，在云端会根据收集上来的机器信息进一步识别过滤，攻击者只向真正感兴趣的目标投放后续Payload。

防护方对攻击者的手法越了解，就越能识别出ATT&CK矩阵中的哪些技术点需要得到优先处理，并尽可能细地覆盖到。随着基于ATT&CK框架相关的知识和工具的积累，我们有理由相信TTP类的威胁情报对于指导威胁狩猎和情报的生产起到越来越大的作用。

情报内生是应对高级威胁的必然需求

近期，奇安信威胁情报中心红雨滴团队公布了高级威胁组织“虎木槿”的攻击活动，这一东北亚来源的攻击组织利用了0day级别的浏览器漏洞，攻击线索的发现也源于高级威胁检测过滤系统。

我们目击到的邮件是这样的：

基于对钓鱼邮件APT攻击的了解，我们预设了一些可疑特征的规则：

此邮件命中了部分规则导致了此邮件被打上了某些标签：

标签指示分析人员在邮件中发现了带可疑的URL重定向，在链接中发现了可疑的中文，人工确认发现邮件中链接导向的浏览器漏洞利用的攻击。成功地发现这类攻击完全取决于我们对攻击来源的手法也就是TTP细节的深入了解，利用规则设置相应的Check Point来捕获需要人工介入的样本，从这个角度看，目前ATT&CK矩阵所提供的手法信息过于粗糙，还有极大的提升空间，需要开源社区的共同努力贡献细节才能让ATT&CK发挥更大的指导作用。

汪列军：奇安信威胁情报中心负责人、虎符智库专家。