更新时间:2022-07-29
外部攻击智能聚合是通过外到内攻击的一部分安全日志,通过机器学习聚类算法进行分析和展示,将外部对内部某些资产的攻击行为聚合成攻击事件。
外部攻击智能聚合模块产生的攻击事件,和处置中心的安全事件是有区别的。前者主要是通过安全日志层面进行直接聚合产生的,后者是通过安全日志到安全告警再到安全事件层面。
点击<查看攻击者>可查看互联网的攻击IP地址,管理员可进行导出、网段复制、IP复制等操作,便于安全网关设备中进行添加,实现封锁。页面如下图所示。
详情页面部分可展示攻击描述、标签、威胁等级、资产组织、最近发生时间及日志数等信息。同时,本页面支持标签、资产组织、威胁等级等维度进行筛选,支持关键字检索,页面如下图所示。
点击<具体描述>会跳转至详细的攻击事件说明,如下图所示。
其中:
多维度模糊相似算法聚合逻辑:通过攻击目标、攻击地区、攻击手法、攻击IP四个维度对一段时间的攻击进行聚合分析;
攻击示意:展示攻击者主要使用哪些攻击去攻击目标业务;
详细信息:通过目标主机信息、攻击者信息、漏洞信息、攻击类型信息、攻击时间段来进行说明;
处置建议:可以查看对事件的处置建议。
查看日志:点击<日志数>可跳转至相应的[安全检测日志],提供详细的检测日志条目查看,如下图所示。