最近更新时间:2022-01-21
本功能用于从不同维度对全网中已发生的安全事件进行统计和展示。主要分为聚合模式和详情模式。
聚合模式
该模式主要用于统计和展示全网安全事件,以及受事件影响的内网主机信息。
详情模式
该模式用于展示全网发生的安全事件详情。您可以对安全事件进行处理、处置、添加白名单等操作。
操作 | 说明 |
处理 | 修改安全事件处理状态,支持批量处理和单个处理。 |
处置 | 创建处置工单,并将安全事件添加到工单中,通过邮件或短信通知相关责任人处理安全事件,并反馈处理结果。 |
白名单 | 当确认某类安全事件为误报时,可将该事件添加为白名单,减少误报。 |
聚合模式的具体配置步骤如下:
1. 选择“态势感知 > 概览”。
2. 在概览页面,点击“登录系统”,登录态势感知平台。
3. 选择“处置中心 > 安全事件 > 聚合模式”进入安全事件聚合页面。
4. 选择“待处理事件”页签查看全网处理中和未处理的安全事件,以及事件影响的内网主机信息。
5. 选择“全部安全事件”页签查看全网安全事件,以及事件影响的内网主机信息。
6. 在“待处理事件”或“全部安全事件”页面,单击“导出”,可将安全事件导出为Excel表格文件并下载至本地。
7. 在“待处理事件”或“全部安全事件”页面,单击安全事件列表中
按钮可查看受事件影响的内网主机。其中,单击主机名称查看安全事件详
情,单击
按钮可处理该主机上发生的此类安全事件。
详情模式的具体配置步骤如下:
1. 选择“态势感知 > 概览”。
2. 在概览页面,点击“登录系统”,登录态势感知平台。
3. 选择“处置中心 > 安全事件 > 详情模式”进入安全事件详情页面。
4. 支持按场景、统计周期等条件检索安全事件。其中,场景选择“今日新增”,页面将只展示今日发生的所有安全事件;选择“反复出现”则展
示处理后再次发生的安全事件;选择“今日处理”则展示今日处理的安全事件。配置查询条件后,页面下方图表中将只展示符合查询条件的安
全事件。
5. 单击
按钮查看事件名称分布Top10和事件趋势图。并且,事件名称分布Top10、事件趋势图与事件处理状态联动展示,例如,处理状态选择
“未处理”,则事件名称分布图将只展示未处理事件中发生次数Top10的安全事件,事件趋势图也将只展示未处理事件的发生趋势。
6. 选择一个安全事件,单击操作列详情图标进入安全事件详情页面,查看事件的详细信息。
7. 选择一个安全事件,单击操作列的处理图标,修改安全事件处理状态;选择多个事件,单击“批量处理”,批量修改安全事件处理状态。处理
完成后,单击处理状态列
按钮可查看处理人信息,方便您进行行为审计。
8. 选择一个安全事件,单击操作列处置图标,将事件添加到处置工单;选择多个事件,单击“批量处理”,可将所选安全事件添加到一个处置工
单进行跟踪处理。
9. 选择一个安全事件,单击操作列白名单图标,将事件添加到白名单。
10. 单击“导出”,可将安全事件列表导出为Excel表格文件并下载至本地。
该功能用于展示网络中已发生的安全事件详细信息,具体显示的信息如下:
基本信息
展示安全事件的基本信息,包括安全事件名称、等级、源和目的IP、检测引擎、攻击阶段、处理状态等。
事件趋势图
通过折线图展示首次发生时间到最近一次发生时间之间,该安全事件的发生趋势。
取证证据
网络取证:通过分析安全设备上报的IPS抓包,展示资产发生的安全事件过程,有利于管理员对该事件进行分析取证。
主机取证:展示终端主机上的进程在一段时间段内的操作行为和网络访问行为信息,有利于管理员对该进程进行分析取证。
风险危害
展示该安全事件攻击原理和对用户网络的威胁详情。点击编辑按钮可修改风险危害内容,点击恢复按钮可恢复为系统预定义的风险危害。用
户编辑后的风险危害可在处置建议库页面查看。
处置建议
展示针对该安全事件的预定义处置方案。点击编辑按钮可修改处置建议内容,点击恢复按钮可恢复为系统预定义的处置建议。用户编辑后的
处置建议可在处置建议库页面查看。
参考案例
单击“参考案例”下方的文字可跳转到内置案例库查看该事件的参考处理方案,若无参考案例则显示“暂无”。
威胁详情
展示该事件每一次发生的时间、事件描述信息、事件源和目的IP、原始日志信息等,以便管理更好的了解事件发生时间线,分析网络安全
状态。
