安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.65
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","告警查看")}}

告警查看

更新时间:2022-07-29

文件威胁告警列表展示实时产生的文件类告警包括:威胁描述、威胁类型、攻击阶段、威胁等级、受害者IP、受害资产类型、攻击者IP、攻击次数、结果、处置状态等,其中:

  • 威胁类型:包括下载恶意文件、内网传播病毒;

  • 威胁等级:分为高威胁、中威胁、低威胁;

  • 攻击阶段:匹配威胁对应威胁类型所属的攻击阶段。

如下图所示。

选中某个文件威胁告警,点击<威胁描述>列的具体名称下钻到<告警详情>页面,分为告警摘要、告警详情、命中规则、原始日志列表、攻击者分析、处置建议等子页面,告警详情包括告警摘要、告警详情、命中规则、原始日志列表、处置建议等部分信息,如下图所示。

告警摘要

可以看到告警的处置状态、威胁类型、威胁等级、数据来源、所处的攻击阶段等,如下图所示。

告警详情

展示攻击者IP及端口、受害者IP及端口、文件路径、威胁名称、进程参数、检测引擎等,如下图所示。

命中规则

可以看到该告警关联的规则ID列表,包括规则ID、规则名称、检测引擎、威胁类型、威胁等级、ATT&CK攻击图谱中关联的类别等,如下图所示。

点击“规则ID”值,页面会跳转到[系统设置/安全能力配置/安全告警/事件检测引擎]页面该规则的信息,并再次基础上可以进行规则详情查看或编辑等操作,如下图所示。

原始日志列表

原始日志列表查看告警关联的日志列表,如下图所示。

点击“描述”字段内容可以跳转到该条原始日志信息,提高研判效率,如下图所示。

点击<前往日志检索>会跳转到日志检索页面,自动筛选出该告警关联的日志信息,如下图所示。

处置建议

基于该告警的原理、风险危害等信息给出排查建议、处置建议和日常维护建议,如下图所示。