最近更新时间:2022-01-21
场景化分析主要包含如下内容:
场景化分析 | 说明 |
挖矿风险分析 | 该功能用于分析和展示网络中发生的挖矿风险事件,仅统计处理中和未处理事件。 |
勒索感染分析 | 该功能用于分析和展示网络中发生的勒索病毒感染事件,仅统计处理中和未处理事件。 |
C&C外联分析 | C&C外联事件是指内网主机与外网C&C服务器建立连接关系后,外网C&C服务器可以控制内网主机进行攻击活动,如窃取机密文件,操控内网主机攻击其他资产等。C&C外联分析功能从多个维度统计并展示用户网络中发生的C&C外联事件,以便管理员快速定位异常主机,排除风险。 |
恶意文件分析 | 恶意文件分析功能用于统计并展示网络中存在的恶意文件及被感染主机信息,以便管理员快速定位异常主机,排除风险。 |
威胁情报分析 | 该功能用于分析和展示威胁情报命中情况。 |
挖矿风险分析主要展示如下内容:
存在挖矿的风险资产和用户
展示网络中受挖矿病毒影响的资产、用户总数。
挖矿阶段分布图
展示指定统计周期内,各个挖矿阶段的主机个数。
挖矿矿池分布图
展示指定统计周期内,主机访问的矿池分布情况。
挖矿币种分布图
展示指定统计周期内,主机挖矿的币种分布情况。
挖矿主机列表
展示指定统计周期内,受挖矿病毒影响的主机信息。
勒索感染分析主要展示如下内容:
存在勒索的风险资产和用户
展示网络中感染勒索病毒的资产、用户总数。
访问关系图
展示统计周期内,网络中勒索类事件所涉及的内网主机与外网主机、恶意域名之间的访问关系。当访问关系较多或只需查看某个主机的访问
关系时,在“源”或“目的”查询框中输入查询条件,然后单击“查询”,页面将只展示该主机的访问关系,便于查看。
C&C外联分析主要展示如下内容:
存在C&C主机通信的风险资产和用户
展示内网存在C&C域名通信的资产、用户总数。
C&C外联安全事件发生次数趋势图
通过折线图展示统计周期内,C&C外联安全事件发生次数趋势。
风险危害及处置建议
展示C&C外联事件对网络安全产生的威胁及建议处理方案。
C&C主机
展示统计周期内,内网主机访问过的C&C主机及其所属地区。支持按C&C主机IP地址和域名称检索C&C外联事件分析数据,同时提供导出功
能,用户可将分析数据导出到Excel表格,下载到本地进行预览。
源主机
展示统计周期内,内网资产和用户访问过的C&C主机及连接C&C主机次数。支持按资产名称和用户名称检索C&C外联事件分析数据,同时提
供导出功能,用户可将分析数据导出到Excel表格,下载到本地进行预览。
恶意文件分析主要展示如下内容:
存在恶意文件个数
展示统计周期内,网络中存在的恶意文件总数。
发现次数最多恶意文件Top5
展示发现次数最多前5个恶意文件信息。点击感染主机数列的数字将展示被感染主机信息。
风险危害及处置建议
展示恶意文件攻击事件对网络安全产生的威胁及建议处理方案。
感染主机详情
通过列表展示统计周期内,感染恶意文件的主机信息。支持按资产名称和用户名称检索感染主机,同时提供导出功能,用户可将分析数据导
出到Excel表格,下载到本地进行预览。
威胁情报分析主要展示如下内容:
威胁情报命中总览
展示指定统计周期内,IP情报、域名情报、URL情报、MD5情报的命中次数。
威胁类型Top10
展示指定统计周期内,IP情报、域名情报、URL情报、MD5情报中命中次数Top10的情报及其命中次数,选择不同页签,可查看对应情报
类型中命中次数Top10的情报。
活跃威胁情报Top20
从确信度、影响资产数、影响用户数、命中次数等方面对情报进行综合分析,并展示指定统计周期内,排名前20的情报。同时,支持将情报
加入白名单,加入白名单后,情报不再生效,原来匹配成功的数据(如安全事件、风险资产等)也不再展示。
威胁情报命中查询
通过情报IOC查询情报的命中情况。
1. 选择“态势感知 > 概览”。
2. 在概览页面,点击“登录系统”,登录态势感知平台。
3. 选择“分析中心 > 场景化分析”,然后选择场景化分析类型进入对应的分析页面。选择统计周期,即可查看统计数据。
