安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.65
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","安全告警/事件检测引擎")}}

安全告警/事件检测引擎

更新时间:2022-07-29

安全事件/告警检测引擎主要实现对包括:情报检测引擎、文件分析引擎、攻击行为分析引擎、异常行为引擎,进行编辑、展示查询、新增等操作。

展示查询

在[系统设置/安全能力配置/安全告警检测引擎]页面,各检测引擎标识规则总数、引擎简介,将鼠标放置在<简介>位置可以看到具体内容,每条引擎规则在列表中的属性包括:告警ID、事件ID、威胁名称、威胁等级、威胁类型、配置时间、状态、生安全告警/事件的关联关系、操作等,如下图所示。

其中:

  • 告警ID:在安全告警详情页面可以看到,多是2开头的ID数字串;

  • 事件ID:在安全事件详情页面可以看到,多是1开头的ID数字串;

  • 威胁等级:分为高威胁、中威胁、低威胁;

  • 威胁类型:和处置中心的安全事件和安全告警威胁分类是一致的;

  • 安全告警:指该条引擎规则是否生成安全告警,包括“生成”、“不生成”两种结果,由于安全事件是有安全安全告警转换的,当安全告警配置“不生成”时,安全事件列也会关联变为“不生成”。

  • 安全事件:指该条引擎规则是否生成安全事件,包括“生成”、“不生成”两种结果。

  • 状态:可以手动修改每条规则的状态,“”代表启用状态,“”代表禁用状态;

在规则列表部分,可以根据威胁类型、威胁等级进行分类展示,也可以根据关键字/引擎规则ID对进行模糊检索,如下图所示。

在规则列表中,可以点击每一个规则的“”可以对规则进行编辑。

编辑管理

在[系统设置/安全能力配置/安全告警检测引擎]页面,选中一条或多条规则点击<启用>、<禁用>、<恢复默认配置>可以批量启用/禁用/恢复默认配置,如下图所示。

点击进入到规则详情页面,包括:当前状态、告警ID、事件ID、安全告警、安全事件、威胁名称、威胁类型、威胁描述、攻击影响、威胁等级等,可以自定义该引擎规则是否成安全事件、是否生成安全告警,如下图所示。

可以手动下拉选择调整威胁等级,如下图所示。

其中,在“异常行为引擎”分类中,可以对常见的扫描、爆破等行为可以根据实际情况自定义阈值,示例如下图所示。

目前支持可以自定义阈值的列表如附件。

自定义威胁情报

在[系统设置/安全能力配置/安全告警/事件检测引擎]页面,可以自定义威胁情报,如下图所示。

威胁情报创建

在在[系统设置/安全能力配置/安全告警/事件检测引擎]页面,自定义威胁情报库子类中,管理员可点击<新增>或<导入>进行威胁情报创建,包括:事件标签、所处阶段、匹配条件、确定性等级、威胁等级、事件类型。管理员可通过编辑事件标签、所处阶段及检测项进行威胁情报新增,可选项(高级选型)包括确定性等级、威胁等级、事件等级、危害描述及处理建议,新增界面如下图所示。

其中:

  • 安全告警:该情报是否生成安全告警;

  • 安全事件:该情报是否生成安全事件;

  • 情报类型:包括域名、IP、URL、文件MD5;

  • 威胁类型:为情报选择所属的威胁类型;

  • 威胁等级:包括高威胁、中威胁、低威胁;

  • 情报来源:备注情报来源。

威胁情报导入

管理员可点击<导入/下载示例文件>进行模板下载,并通过对csv/stix2模板文件进行编辑与导入操作,实现批量威胁情报导入,如下图所示。

威胁情报管理

管理员可单选/多选已有威胁情报并点击对应按钮,进行单个/批量启用、禁用及删除操作,可以通过右上角的搜索栏进行精确检索,情报状态可在最右侧状态栏标识进行查看,同时,点击状态的“”,也可以禁用/启用规则,支持威胁情报导出操作,如下图所示。