安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.77
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","概览")}}

概览

更新时间:2023-05-25

设备接入概览 

  1. 可清晰展示接入安全感知平台的设备类型、数量以及在线状态,同时可显示安全感知平台的CPU、内存及磁盘利用率,页面如下图所示。

点击<下拉框>,如上图标红部分,可以查看动态展示。

点击<设备名称>,可以跳转至[设备管理页面],便于管理和新增接入设备,如下图所示。

跳转至设备管理页面,如下图所示。

整体概览 

主要包括综合安全感知、服务器安全感知、终端安全感知、威胁安全感知、资产感知等模块。

显示模块设置

可以自定义设置在首页展示的模块。包含以下模块:

威胁感知(威胁态势、安全事件统计)

服务器安全(服务器安全状态分布、风险服务器 top5

终端安全(终端安全状态分布、风险终端top5

资产感知(资产感知、EBA行为画像)

安全播报

点击<模块显示按钮>,可以通过勾选模块,可以自定义在首页展示,如下图所示。

综合安全感知

综合安全感知可展现平台安全感知的整体情况、综合评级、处置中心、潜伏威胁黄金眼及热点事件等内容,页面如下图所示。   

 

其中:

综合评级:主要通过评分及评级的形式,展示当前网络的安全情况。总分100分,分为优(91-100)、良(81-90)、中(61-80)、差(60分及以下)四个等级。默认评分规则如下表所示

表15默认评分规则表

   

分值

扣分上限

已失陷主机

10

100

高危主机

3

39

中危主机

2

19

低危主机

1

9

信息主机

0.1

2

 

  说明:

评级规则支持自定义,定义方法为:将鼠标悬停在评级上:

1.点击[评分说明]右侧编辑按钮,可选择[系统自动评分][自定义评分],自定义评分可直接修改评分结果;

2.点击[评分规则]右侧编辑按钮,可修改系统自动评分的评分规则。

 

处置中心:统计需要处置的服务器和需要处置的终端数量;

热点事件:展示近期网络安全行业中发生的热点流行事件,可快速感知客户网络是否感染热点安全事件。红色事件代表客户环境已发生此类风险,需重点关注,同时,鼠标悬停在事件标签时可查看事件详细信息。

服务器安全感知

服务器安全感知可统计展示服务器安全状态分布,包括已失陷、高危、中危等情况的数据统计及TOP5的风险服务器,页面如下图所示。

 

其中:

服务器安全状态分布:统计出当前网络中存在已失陷、高危、中危、低危、信息的主机数量,以及风险服务器中存漏洞风险、配置风险、弱密码、明文传输的脆弱性情况;

风险服务器TOP5通过风险等级排序TOP5的风险服务器,当风险主机超过5个时,排序情况不分先后,点击<更多>可跳转至[处置中心/风险资产视角]查看具体风险信息。

终端安全感知

终端安全感知可统计展示终端安全状态分布,包括已失陷、高危、中危等情况的数据统计及TOP5的风险终端。

 

其中:

终端安全状态分布:统计出当前网络中存在已失陷、高危、中危、低危、信息的终端数量;

风险终端TOP5通过风险等级排序TOP5的风险终端,当风险主机超过5个时,排序情况不分先后,点击<更多>可跳转至[处置中心/风险资产视角]查看具体风险信息。

威胁感知

威胁感知通过安全事件视角,展示网络中威胁态势情况及安全事件数据统计信息,页面如下图所示。

其中:

威胁态势:统计每天的威胁数量包括外部威胁、横向威胁、外连威胁。在右上角可选择统计周期,包括最近7天或最近30天数据,同时鼠标悬停在对应威胁色块时,会显示细化威胁数据统计;

安全事件统计:展示攻击次数最多的前5类攻击。在右上角可选择统计周期,包括最近7天或最近30天数据,同时鼠标悬停在对应安全事件时,会显示事件数据统计。点击<更多>可跳转至[处置中心/威胁视角]查看具体风险信息。

资产感知  

资产感知可展示网络中识别到的服务器资产相关信息,并根据网络流量大小列出TOP5服务器的行为画像情况,排序逻辑为流量大的服务器优先展示,页面如下图所示。

其中:

资产感知:可查看较上周同时段服务器总数新增情况,点击<服务器总数><核心服务器>等标签,可跳转至[资产中心]相关页面进行详细信息查看;

服务器重要级别分布:需针对服务器资产进行重要级别指定后,才可有效展示;

EBA(行为画像):根据流量大小和访问次数从EBA模块提取出存在异常的TOP5服务器,其中默认展示时间窗口为1个月,虚线代表当天对应的基线值,基线值是通过该日期之前1个月内的拟合算法值,类似于加权平均值并预考虑到上下波动的一个区间,基线值随着时间推移,也在不断发生变化,柱状代表当天的实际值,当实际值高于基线值,就会报基线异常,点击异常服务器柱形标签,可跳转至[分析中心/异常行为分析/EBA实体行为分析]进行详细行为画像信息查看。

安全播报

安全播报可展示日报、周报以及月报,管理员可以点击右侧的<下载>按钮,下载所需的报告类型。点击<更多>按钮,跳转至[预设报告]页面查看详情。