在[处置中心/威胁视角/安全事件]页面,可以看到安全事件分布,其中可以根据以下各维度进行筛选,如下图所示。
其中:
处置状态包括:全部、未处置、已挂起、处置中、已处置等几个状态;
资产类型包括:全部、服务器、终端;
威胁等级:通过对安全事件的影响范围和深度进行的综合评估,分为全部、高威胁、中威胁、低威胁;
攻击阶段:根据行业标准的攻击链模型进行对安全事件进行阶段匹配,分为全部、脆弱性风险、侦查、入侵、命令控制、横向扩散、目的达成等阶段。
威胁类型:包括一级分类、二级分类以及三级分类,在查询的时候可以根据不同的子类展开,也支持根据关键字模糊检索,如下图所示。
时间范围:根据时间段进行安全事件检索,包括最近1个月、最近7天、最近24小时、自定义,对于超出1个月的时间,使用自定义时间范围,如下图所示。
搜索:可以根据IP/IP段/描述/资产组/主机名等方式进行定向检索。