更新时间:2022-07-29
安全事件/告警检测引擎主要实现对包括:情报检测引擎、文件分析引擎、攻击行为分析引擎、异常行为引擎,进行编辑、展示查询、新增等操作。
展示查询
在[系统设置/安全能力配置/安全告警检测引擎]页面,各检测引擎标识规则总数、引擎简介,将鼠标放置在<简介>位置可以看到具体内容,每条引擎规则在列表中的属性包括:告警ID、事件ID、威胁名称、威胁等级、威胁类型、配置时间、状态、生安全告警/事件的关联关系、操作等,如下图所示。
其中:
威胁等级:分为高威胁、中威胁、低威胁;
威胁类型:和处置中心的安全事件和安全告警威胁分类是一致的;
安全告警:指该条引擎规则是否生成安全告警,包括“生成”、“不生成”两种结果,由于安全事件是有安全安全告警转换的,当安全告警配置“不生成”时,安全事件列也会关联变为“不生成”。
安全事件:指该条引擎规则是否生成安全事件,包括“生成”、“不生成”两种结果。
状态:可以手动修改每条规则的状态,“”代表启用状态,“”代表禁用状态;
在规则列表部分,可以根据威胁类型、威胁等级进行分类展示,也可以根据关键字/引擎规则ID对进行模糊检索,如下图所示。
在规则列表中,可以点击每一个规则的“”可以对规则进行编辑。
编辑管理
在[系统设置/安全能力配置/安全告警检测引擎]页面,选中一条或多条规则点击<启用>、<禁用>、<恢复默认配置>可以批量启用/禁用/恢复默认配置,如下图所示。
点击进入到规则详情页面,包括:当前状态、告警ID、事件ID、安全告警、安全事件、威胁名称、威胁类型、威胁描述、攻击影响、威胁等级等,可以自定义该引擎规则是否成安全事件、是否生成安全告警,如下图所示。
可以手动下拉选择调整威胁等级,如下图所示。
其中,在“异常行为引擎”分类中,可以对常见的扫描、爆破等行为可以根据实际情况自定义阈值,示例如下图所示。
目前支持可以自定义阈值的列表如附件。
自定义威胁情报
在[系统设置/安全能力配置/安全告警/事件检测引擎]页面,可以自定义威胁情报,如下图所示。
威胁情报创建
在在[系统设置/安全能力配置/安全告警/事件检测引擎]页面,自定义威胁情报库子类中,管理员可点击<新增>或<导入>进行威胁情报创建,包括:事件标签、所处阶段、匹配条件、确定性等级、威胁等级、事件类型。管理员可通过编辑事件标签、所处阶段及检测项进行威胁情报新增,可选项(高级选型)包括确定性等级、威胁等级、事件等级、危害描述及处理建议,新增界面如下图所示。
其中:
安全告警:该情报是否生成安全告警;
安全事件:该情报是否生成安全事件;
情报类型:包括域名、IP、URL、文件MD5;
威胁类型:为情报选择所属的威胁类型;
威胁等级:包括高威胁、中威胁、低威胁;
情报来源:备注情报来源。
威胁情报导入
管理员可点击<导入/下载示例文件>进行模板下载,并通过对csv/stix2模板文件进行编辑与导入操作,实现批量威胁情报导入,如下图所示。
威胁情报管理
管理员可单选/多选已有威胁情报并点击对应按钮,进行单个/批量启用、禁用及删除操作,可以通过右上角的搜索栏进行精确检索,情报状态可在最右侧状态栏标识进行查看,同时,点击状态的“”,也可以禁用/启用规则,支持威胁情报导出操作,如下图所示。