管理员可以自定义基线标准,作为企业内部管理的安全基准,设置一定的基线规则后,可以按照一定的检测周期对监控范围内的主机进行监控,并输出风险主机的情况,可以针对风险主机进行查看、过滤,并针对不同的告警进行统计,能从多维度进行分析,协助客户进行风险识别和风险处置。配置过程如下。
在[资产中心/资产感知/配置/安全基线配置]页面下,点击<新增>,进行安全基线规则的配置。
规则名称:可自定义规则名称。
规则类型:规则类型包含开放禁用端口(对端口进行限制)、开放禁用协议(对协议进行限制)以及属性变更(指定检测的属性)三种,可以根据需求自行选择。
资产范围:可以指定IP组或者自定义。指定IP组:是指SIP配置好的资产组;自定义:用户自己想监测的IP范围。
监测周期:可以选择每小时、每天、每周、每月。
备注:对该条新增的基线规则进行说明。
配置完成后,按照一定的检测周期对监控范围内的主机进行监控,并输出风险主机的情况,可在[资产中心/资产感知/基线异常]页面下进行查看,如下图所示。
支持通过基线异常类型进行筛选。
支持通过检测时间进行筛选,选择不用的时间范围对异常数据进行查看。
也可通过搜索IP进行筛选。
支持批量处置。
支持数据的导出,点击<导出>,即可。
基线异常的数据也可在总览页面查看。
建议使用Chrome浏览器访问!
