大屏，是把一些复杂、抽象的数据，通过可视的简单理解的方式展示出来，更加直观生动地表达其中的信息与规律，数据信息通过柱状图、折线图等图形数字结合的方式在大屏展现，让信息的变化更加一目了然，方便实时查看当前各展示信息关联性及趋势。XDR内置大屏主要包括网络安全资产态势、网络安全告警态势、网络安全运营态势、全网安全能力监控、网络安全攻击态势、集团分支综合态势、网络安全攻防演习态势、网络安全综合态势、网络安全事件态势。

点击大屏页面设置按钮，设置具体大屏相关信息，其中通用设置部分设置大屏信息统计周期以及单位所在地。点击具体大屏设置大屏相关属性；

大屏设置完毕之后点击大屏右下角按钮大屏投放进行投放，按F11打开全屏模式。

全网安全能力监控

大屏介绍：

• 全网安全能力监控大屏为客户提供了数据少量精准减少的依据，可以看到由标准化日志到安全告警到安全事件逐层减少的原因。

功能描述：

• 从数据接入、数据解析、数据治理到引擎运行产生告警事件，全流程监控XDR作为全网能力中心起到的安全效果，直观感受XDR平台的能力。

• 全网安全能力监控大屏主要为客户展示了从数据采集的标准化日志，到数据治理的安全告警，再到数据分析的安全事件，经过层层过滤后，展示的精准的安全事件。

• 通过全网安全能力监控大屏，可以为客户清晰的展示XDR基于特征规则、基线异常、终端IOA、云端检测、AI引擎、知识图谱、模糊图匹配、XTH引擎、攻击链关联分析、网端关联分析等检测方式大幅削减日志数量的原因，并让客户逐步认可XDR带来的价值。

网络安全运营态势 

大屏介绍： 

• 监控网络和端点的全部风险情况，并可以跳转到对应的模块进行快速分析处置，极大提升运维效率。

 

功能描述： 

1.整体安全防护天数 

• 这里展示的天数为当前时间减去平台授权激活的时间，即使平台过期后续期也是从最开始计算
• 这里展示的微信推送条数为用户绑定微信公众号后推送的所有信息总数
• 这里如果检测到没有绑定微信公众号，显示如右：建议配置微信推送，更及时接收威胁通知，点击配置微信推送跳转到设置里面微信通知的页面

 2.云端专家实时防护和威胁模拟 

• 这里为固定的文案，这里的图标会有一个实时的扫描效果
• 点击威胁模拟出现一个覆盖当前页的动效图，用于没有数据的时候能够给一线讲解用

 

3.关键安全指标 

• 风险等级
  • 风险等级这个指标两个状态，有事件则展示待处置呈现危险态，没事件显示安全；
•  核心指标
  • 核心/风险资产，这个展示为用户标记的核心风险资产数统计，和全部的风险资产数统计，点击可以跳转到风险资产过滤；
  • 待处置事件统计的为事件列表的待处置数量，待处置事件需要排除加白事件；
  • 已处置事件统计为事件列表中处置完成，已忽略，已遏制，点击过滤这些处置状态的事件，已处置的事件需要排除加白的事件；
  • 智能响应的实体统计智能响应模块的所有实体数，点击可以跳转到智能响应的页面；
  • 上述所有的数据都需要增加一个同比每周的变化数量，基于每周凌晨数据总量去做对比。没有变化则不展示；
• 关键风险
  • 这里展示的为最多数量的事件标签，最多展示6个数量最多的标签，不足6个标签则展示几个最高危等级的标签；
  • 这里点击跳转到安全事件页面过滤出含有对应标签的事件；

4.核心资产看护 

• 资产体检价值展示
  • 展示资产体检通过安全威胁检测、供给面识别、风险访问识别、偏离基线分析四个方面进行评估；
•  资产体检分布统计
  • 这里展示为每个等级的资产统计，这里的数据来自资产体检模块；
  • 点击前往体检的按钮跳转到资产体检页面；
• 资产体检资产轮播
  • 这里展示的为核心资产体检模块具体的资产风险，一页5个，最多轮播4页将核心资产最多20个资产展示完整；
  • 每个资产展示的数据为资产IP(资产组)，事件数，漏洞数，弱密码数，风险工具数；
  • 点击每个数字和资产体检一样，跳转到对应的模块过滤出对应的内容；
  • 这里没有配置核心资产体检时候，有个空状态引导去资产体检页面配置；
  • 点击每个资产名称，跳转到资产体检页面打开资产体检的抽屉；

 

5.组织威胁概览 

• 安全事件价值

  • 海量的安全告警统计的为各个组件的日志条数，点击跳转到日志检索，对应的组件的日志

  • 云端检测数为所有的告警数（点击跳转安全告警列表），云端挖掘的事件为所有XTH的事件（这个和下面的专家挖掘是一个
    数据支持跳转)

  • 机器鉴定为平台自动审核的事件数，专家分析专家审核，狩猎，告警转事件等全部带XTH标签的事件，点击跳转过滤事件

  • 精准安全事件为安全事件总数，右边展示已处置事件数，可以点击到事件页面，网端联动数据为数据源为N+EDR和N+CWPP的事件，点击可以跳转

• 安全事件等级分布和列表
  • 展示待处置各个事件等级的分布严重，高，中)，点击可以跳转
  • 统计数据下面的表格为最新的事件滚动列表，一页展示5个，可以轮播三页，也就是最多展示最新的15条事件，具体的事件字段如图点击可以跳转到具体的事件详情页

 

6.云网端动效图 

• 这里展示云网端的动效图，基本是固定的动效
• 装了端的资产会显示出装了agent的图标标识，并且会有绿色的底盘或者其他方式表示这个端在被保护
• 买了网侧的设备，例如AF,STA和SIP,会在图中间有个网络侧设备的图标，没有买就没有或者置灰
• 在云端会展示专家监控，云端情报，多元云端引擎等元素

 

7.资产分布 

• 这里展示的资产背景图，默认展示top5的风险资产，点击每个资产显示具体的单个资产的待处置风险数据
• 展示的数据如图上所示，数据都可支持调转到对应的模块，工作量考虑可以只跳转总数，各修复等级的跳转可以先不做，如果工作量差不多可以都做
• 点击后的浮窗的标签右边有个跳转的操作，点击跳转到资产体检页面打开资产体检的抽屉
• 这里没有配置核心资产体检，这里给一个空状态引导去核心资产体检页面配置

 

8.云端智能响应 

• 智能响应价值展示 
  • 这里的三个数据直接取智能响应的数据，可以直接拿取智能响应页面的统计数据，数据为一一对应
  • 上面云端检测的三个数据不可跳转，下面的威胁四个数据和智能响应页面的筛选逻辑一致
  • 这里没有开启智能响应的时候会有一个空状态，会引导去开启智能响应
•  智能响应实体列表
  • 这里展示最新的15条实体数据，一页展示5个，支持轮播三页，字段如图所示

网络安全攻击态势

价值描述

• 网络安全攻击态势大屏通过攻击线直接展示攻击情况、对受攻击主要资产/攻击者进行统计，帮助用户快速识别关键受威胁资产和攻击者。同时通过威胁统计，帮助用户分析攻击模式和趋势。此外，实时攻击监控帮助用户能够及时响应威胁，保障网络环境的稳定与安全。 

1、区域攻击态势

• 描述：最多支撑配置展示6个资产组，每个资产组最多展示20个资产；
• 展示方式：轮播方式展示，从左到右顺时针间隔3s依次轮播资产组展示访问关系，每次轮播到1个资产组展示对应资产组关联的其他组或者外网IP；
• 点击单个组，组高亮固定展示这个组的访问关系；
• 点击单个图标：点击图标高亮此图标相关联的访问图标+连线，置灰其他的图标，包含资产图标和外网IP，并显示具体的攻击和被攻击的数据表格浮层；
• 有严重，高告警的资产标识红色的标识；
• 外网IP展示IP+地域，内网IP展示IP，悬浮显示IP（资产组）

 2、攻击概览TOP10

• 受攻击资产排名：统计外对内，内对内，目的IP统计出现告警次数最多的IP进行排名，取前10。字段包含：排名、资产IP、资产组、被攻击IP、被攻击次数（统计此类包含此资产IP的告警个数）；
• 外网攻击者排名：统计外对内攻击，源IP统计出现告警次数最多的IP进行排名，取前10。字段包含：排名、攻击者IP、地域、被攻击者IP、攻击的次数（统计此类包含此攻击者IP的告警个数）；

3、威胁统计

• 分为3块，外部威胁（外对内的攻击），外连威胁（内对外的攻击），横向威胁（内对内的攻击）；
• 告警总数，告警产生的趋势（展示趋势图的最高点数值，知道大概每天的数量级多少），最多的3类告警三级分类的告警类型；
• 判断依据：基于访问方向去统计，外对内，内对内，内对外去统计各自告警的数量，趋势，以及类型的排行；

4、实时攻击监控：

• 展示最近的告警数据，包含字段：最近发生时间、源IP、目的IP、风险等级；支持切换查看外部威胁、横向威胁、外连威胁；

集团多分支综合态势 

价值描述 

• 实时监控全国/省市级资产及威胁情况，对下级分支单位风险进行识别和管理。 

  

1.多分支地图 

• 配置下级分支单位名称、关联资产组、地理位置信息。 

 

完成配置后展示各分支的综合安全信息 

 

2.资产总览 

• 展示资产组总数和资产总数情况，以及资产类型。 

 

3.资产分布 

• 按照资产数量排序展示资产组信息，包含资产组名、资产总数、核心资产数。 

 

4.脆弱性TOP5 

• 展示待处置脆弱性信息。 

 

5.实时监控 

• 展示当前全网实时的安全事件\安全告警信息，可筛选威胁类型为事件、告警。 

 

6.安全事件TOP5 

• 展示当前安全事件TOP5的资产组信息，可筛选已处置、待处置。 

7.安全告警TOP5 

• 展示当前安全告警TOP5的资产组信息，可筛选已处置、待处置。 

网络安全攻防演习态势

价值描述

• 网络安全攻防演习态势大屏全面展示资产态势、主要威胁分布及攻击趋势，实时监测攻击并同步处置情况。同时呈现值守人员排班、处置响应分布及跟踪，保障安全事件及时响应与有效处理。

 

1、总览态势： 

• 总数统计：统计资产组个数（除去未分类组）和资产总数；
• 告警等级分布：统计告警的全部等级分布，严重、高、中、低、信息；

2、威胁分布top10： 

• 统计告警的三级分类，取告警数排行前10的类型；

3、攻击趋势： 

• 告警趋势：统计严重，高，中，低几类告警的趋势；

4、顶部四大指标： 

• 自动阻断告警：自动化处置的告警，包括智能响应和soar处置的告警；
• 威胁定性告警：除去未定性外的全部告警总和；
• 监测研判告警：已读的所有告警；
• 工单流转告警：提交了工单的全部告警总和；

5、值守人员： 

• 展示手动配置的人员信息，展示配置的以下信息，总指挥人名，副指挥人名，安全专家人数，安全工程师人数，支撑单位数量，具体的支撑单位名称；

6、处置响应分布： 

• 对统计周期内处置的安全事件，安全告警，工单数进行统计；

7、处置响应跟踪： 

• 统计周期内的工单处置进度，包含字段为：流程等级、工单名称、工单类型、影响资产、责任人、流转状态；

8、实时攻击监测： 

• 按最近发现时间逐个轮播，字段为：最近发现时间、等级、告警名称、告警定性、源IP、目的IP、主机IP、攻击结果、处置状态；

9、主图区域： 

• 展示攻击、设备拦截、告警降噪到人工研判的过程，无业务数据关联；

网络安全综合态势 

价值描述

• 网络综合态势通过实时监控资产、脆弱性和事件，为企业/单位构建一个全面的安全视图。大屏实时展示网络中的资产分布、脆弱性状况和安全事件现状，帮助安全团队快速识别潜在威胁。同时，大屏还支持对脆弱性和安全事件进行实时监控，异常能被及时发现和响应。此外，大屏还提供各单位安全态势的查看，安全管理人员能够全面了解整个组织的网络安全状况，做出更加精准的安全决策。

资产总览

展示资产组总数及资产总数，资产类型，帮助安全团队全面了解现有资产情况；

脆弱性

• 展示脆弱性的处置情况、处置top5的资产组及实时脆弱性监控，支持漏洞、弱密码的数筛选；

安全事件

• 安全事件：展示事件发生趋势、处置情况、处置top5的资产组及实时事件监控；

主图

• 展示各区域的资产、关键风险、待处置高危风险及趋势；

 

网络安全事件态势

价值描述

• 网络安全事件态势大屏通过实时监控关键风险、安全事件趋势、24小时安全事件及受影响资产，以及实时攻击监测和威胁分布，为企业/单位提供一个全面、直观的事件监控台，帮助安全团队快速识别和响应网络威胁，为优化防御策略提供数据支撑。

 

1.事件总览

• 展示风险事件总数及已处置数；

2.关键风险

• 展示企业/单位重点关注的事件情况；

3.安全事件等级分布

• 展示全网安全事件各等级数，帮助安全团队了解事件的严重情况分布；安全事件趋势：展示事件的发生趋势及处置趋势，帮助安全团队了解事件发生的时间特点及处置情况；

4.24小时安全事件趋势

• 重点展示24小时内的安全事件现状及影响资产，威胁实体，帮助安全团队及时掌握最新事件态势；

5.威胁分布top10资产

• 展示网络中最受威胁的资产，帮助安全团队采取针对性的加固措施。

6.事件类型分布

• 展示前10事件类型，帮助安全团队了解当前面临的主要威胁类型，为优化防御策略提高数据支撑；

7.实时攻击监测

• 动态展示最新的安全事件，包含事件名称、影响资产、最近发生事件、事件类型等字段。