更新时间:2022-07-29
风险用户页面默认刷新时间为3min进行一次数据同步,可以手动拉下选择其他时间频率,如下图所示。
风险用户的场景包括默认[全部]和[今日新增]两种场景,如果只关注当天增量的风险用户多使用[今日新增]场景,时间跨度都以天为单位,最大支持30天内,如下图所示。
汇总展示
风险用户汇总分为正常用户、高风险用户、严重用户三类,有严重用户/高风险用户的资产组会变为红色,可以对不同类型用户进行选择并导出,如下图所示。
具体展示
在风险用户列表中,默认会根据:主机名、实时IP地址、所属资产组、风险等级、安全事件、最近发生时间等维度进行展示,如下图所示。
严重用户:用户关联的终端资产遭受成功攻击或发生了远程控制、横向攻击、定向攻击等已失陷类安全事件,即将或者已经被攻击者控制,需要立即处置;
高风险用户:用户关联的终端资产感染了病毒或正在进行病毒传播,很可能被攻击者进一步利用,需要立即处置。
中风险用户:用户感染了中威胁病毒文件,很可能被攻击者利用,需要核查并进行处置。
可以在页面中选中若干风险用户,点击<导出>,会以xlsx格式现在到本地,如下图所示。
对风险用户下钻进入到具体风险用户详情页面,可以看到用户信息包括:风险等级、所示资产组、用户来源类型,如下图所示。
对每个风险用户可以看到用户的等级趋势变化图,默认显示为最近7天,如下图所示。
风险用户会通过事件视角进行展示,安全事件是在安全告警基础上,通过内置的算法多个维度匹配得到的,如下图所示。
事件视角
在事件视角页面,点击<威胁描述>字段,可以继续进行下钻举证,可以看到关联的事件详情,主要包括告警摘要、威胁分析、命中规则、攻击者分析、处置建议等,如下图所示。
威胁分析页面展示受害者梳理、告警次数统计、单个告警详情、相关联的日志列表等,如下图所示。
基本详情部分鼠标滚动可以看到数据包信息,如下图所示。
命中规则
可以看到该事件关联的规则ID列表,包括规则ID、规则名称、检测引擎、威胁类型、威胁等级、ATT&CK攻击图谱中关联的类别等,如下图所示。
点击“规则ID”值,页面会跳转到[系统设置/安全能力配置/安全告警/事件检测引擎]页面该规则的信息,并再次基础上可以进行规则详情查看或编辑等操作,如下图所示。
攻击者分析
可以查看攻击者IP、地区、次数、同网段攻击者数、受害者IP数、首次攻击时间、最近攻击时间、封锁状态、对攻击者查看威胁情报和攻击者画像,如下图所示。
点击<封锁>或者< >标志,可以选择重保中心配置的AF进行联动封锁,其实调用的是重保中心联动模块和防火墙联动,如下图所示。
点击< >可以进行威胁情报或者攻击者画像查看,如下图所示。
点击“同网段攻击者数”或者“受害者IP数”属性列对应的值可以看到同网段的攻击者IP和受害者IP统计,如下图所示。
在安全事件关联的攻击者数目较多的情况下,可以点击以xlsx格式<导出>。
处置建议
基于该事件的原理、风险危害等信息给出排查建议、处置建议和日常维护建议,如下图所示。