本文档将为您介绍开启 SASE-AF 功能后,平台通过对产生的安全日志做智能分析,以总览视角展示当前的安全概况,分支和移动端的实时保护情况,风险终端/分支分布和重点关注威胁。
1、授权前置条件:控制台左下角【订阅中心】-【SASE-AF 云端安全防护】服务确认开通,若无授权,参考《SASE授权开通》章节。
2、引流前置条件:已通过硬件引流器(RT/SDW-R/AF)或引流客户端(BYOD客户端或ZTNA客户端)的方式成功接入云安全访问平台,控制台首页可看到用户在线,接入操作参考《安装部署》章节。
3、配置EDR推送的网页重定向设置。首先登录EDR终端系统,在【系统管理】-【终端部署】-【网页推广部署】复制推广URL,然后在【管理】-【通用】-【重定向页面】-【EDR安装提醒】中填入EDR安装的推广链接并保存。
1、登录云图,在【我的产品】登入【SASE上网安全】,在左侧菜单栏选择概览>安全总览页面,查看安全概况,分支和移动端的实时保护情况,风险终端/分支分布和重点关注威胁。支持自定义筛选时间范围(最近24小时、最近7天、最近30天),部门和分支。
2、在安全概况,支持查看筛选范围内的分支/用户的安全情况系统评分,及相应给出的安全建议。您可在相应的安全建议下,跳转查看和处置。
3、在资源保护,支持跳转查看实时保护分支(当前引流接入状态为在线的分支数/分支管理里的所有分支数),实时保护移动用户(当前在线的客户端数/用户管理里的所有客户端数)和恶意活动拦截次数(防护动作为拒绝的安全日志数/所有安全日志数)。在威胁检出趋势,可以查看筛选时间范围内的各个威胁等级的安全日志数趋势。
4、在风险终端分布,展示了当前待处置的风险终端总数,和各严重性风险终端的数量和所占比例。分别点击各严重性分类,可跳转至风险调查页面,分别查看各严重性分类的风险终端详情。且在风险调查页,可以下发联动推送EDR进行终端查杀,随后标记为已处置。
在风险分支Top5,展示了安全日志数最多的前5个分支及对应日志数。点击具体分支,可跳转查看对应分支的安全日志详情。
5、在重点关注威胁,重点展示了C2通信,挖矿和网络钓鱼这三种威胁类型的安全日志总数,受影响终端数和受影响分支数。点击各种威胁类型的安全日志数量,可以跳转查看对应安全日志详情。
在活动回溯,可以查看在筛选时间范围内,对应威胁类型的安全日志数趋势。
在通信地址Top,展示了筛选时间范围内,对应威胁类型的恶意通信域名Top10及恶意连接次数。
建议使用Chrome浏览器访问!
