安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.77
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","潜伏威胁黄金眼")}}

潜伏威胁黄金眼

更新时间:2023-05-25

通道一 

[处置中心/风险资产视角]页面,点击风险详情页面的<潜伏威胁黄金眼>,跳转[黄金眼详情]页面,展示访问关系、资产详情、安全事件、安全告警、流量监控、行为画像、入口点溯源、攻击链溯源。如下图所示。

其中:

访问关系:以表格或者拓扑图方式显示访问类型、访问方向等维度的信息,如下图所示。

当展示层级为2级时可以显示下钻一级的访问关系以展示更加立体的访问关系网,如下图所示。

在页面右下角可以看到线条/图标的说明情况,如下图所示。

资产详情:风险资产的详细信息,和资产中心看到的资产详情是一样的,如下图所示。

安全事件:资产关联的安全事件列表如下图所示。

安全告警:资产关联的安全告警列表如下图所示。

 

流量监控:资产横向链接、对外连接、外对内连接三个方向上的连接统计,包括速率、TOP5应用趋势、应用流量分布、TOP5协议趋势、协议流量分布等,如下图所示。

行为画像:包括横向被访问、横向主动访问、外联、外对内访问方向的访问流量趋势、访问次数趋势、访问时间段分布、常见访问源网段、访问源主机、应用TOP5、目的端口TOP5等要素,如下图所示。

入口点溯源:一句话总结主机遭受攻击的历史概要,提供溯源分析思路,其中时间轴展示攻击历史,可视化标记入口点,时间轴的日期可点击,定位到右侧的风险描述,如下图所示。

攻击链溯源:通过拓扑图或者表格展示供攻击关系网,直接攻击源代表资产遭受攻击的第一层攻击者数量,间接攻击源代表第二层攻击关系网的攻击者数量,其中还分为内网和外网的数量分类统计,如下图所示。

 

黄金眼在对内部IP和外部IP分别检索的时候,黄金眼展示是不一样的,内网IP展示如下图所示。

外网IP展示如下图所示。

除上述方法外还可以通过其他方式进入到潜伏威胁黄金眼

通道二 

[监控中心/概览]页面,可以直接对IP/域名/URL/端口等维度进行潜伏威胁黄金眼查询,如下图所示。

通道三 

点击专项小图标进入,如下图所示。