更新时间:2023-05-25
事件筛选
在[处置中心/威胁视角/安全事件]页面,可以看到安全事件分布,其中可以根据以下各维度进行筛选,如下图所示。
其中:
• 处置状态包括:全部、未处置、已挂起、处置中、已处置等几个状态;
• 资产类型包括:全部、服务器、终端;
• 威胁等级:通过对安全事件的影响范围和深度进行的综合评估,分为全部、高威胁、中威胁、低威胁;
• 攻击阶段:根据行业标准的攻击链模型进行对安全事件进行阶段匹配,分为全部、脆弱性风险、侦查、入侵、命令控制、横向扩散、目的达成等阶段。
• 威胁类型:包括一级分类、二级分类以及三级分类,在查询的时候可以根据不同的子类展开,也支持根据关键字模糊检索,如下图所示。
• 时间范围:根据时间段进行安全事件检索,包括最近1个月、最近7天、最近24小时、自定义,对于超出1个月的时间,使用自定义时间范围,如下图所示。
• 搜索:可以根据IP/IP段/描述/资产组/主机名等方式进行定向检索。
事件统计
在[处置中心/威胁视角/安全事件]页面中间部分为事件统计内容,根据事件属性分为:脆弱性风险、侦查、入侵、命令控制、横向扩散、目的达成等几部分,每部分有具体的量化统计,其总数和事件属性分类的合计总数量上是一致的,如下图所示。
事件查看
根据上述条件检索可以看到具体的安全事件列表,每一个安全事件的维度包括:威胁描述、风险资产数、威胁等级、攻击阶段、威胁类型、检测引擎、最近发生时间、处置状态、操作等维度,如下图所示。
其中:
• 风险资产数:代表该安全事件关联的风险资产数量,在事件详情页面选择[风险资产]子页面可以查看到,如下图所示。
• 处置状态分为:未处置、处置中、挂起;
• 最近发生时间:代表改事件内部的风险资产关联的告警日志的最近一条的时间,如下图所示。
• 检测引擎:代表识别该事件通过的内置检测引擎名称,如下图所示。
• 处置状态:代表风险资产的安全状态,假如有多个风险资产,且所有风险资产全部为已处置的状态时该处会显示[已处置],如果存在有未处置的风险资产,该处会显示[未处置],如下图所示。
事件详情
选中安全事件下钻进入到事件详情页面,包括事件摘要、威胁分析、命中规则、攻击者分析、风险资产、处置建议等部分,如下图所示。
事件摘要
可以看到事件的处置状态、威胁类型、威胁等级、数据来源、事件ID、所处的攻击阶段等,如下图所示。
其中,如果是处置中或者已处置状态的事件,可以点击<联动记录>查看策略执行记录,如下图所示。
点击“>”可以展开查看策略执行过程,如下图所示。
点击<查看更多>会新建tab跳转到[处置中心/处置记录/动作执行历史]页面,如下图所示。
点击<事件ID>会直接跳转到[系统设置/安全能力配置]页面,看到该事件ID的详情,如下图所示。
威胁分析
威胁分析页面展示受害者梳理、告警次数统计、单个告警详情、相关联的日志列表等,如下图所示。
基本详情部分鼠标滚动可以看到数据包信息,如下图所示。
点击<原始日志列表>查看告警关联的日志列表,如下图所示。
点击“描述”字段内容可以跳转到该条原始日志信息,提高研判效率,如下图所示。
点击<前往日志检索>会跳转到日志检索页面,自动筛选出该告警关联的日志信息,如下图所示。
命中规则
可以看到该事件关联的规则ID列表,包括规则ID、规则名称、检测引擎、威胁类型、威胁等级、ATT&CK攻击图谱中关联的类别等,如下图所示。
点击“规则ID”值,页面会跳转到[系统设置/安全能力配置/安全告警/事件检测引擎]页面该规则的信息,并再次基础上可以进行规则详情查看或编辑等操作,如下图所示。
攻击者分析
可以查看攻击者IP、地区、次数、同网段攻击者数、受害者IP数、首次攻击时间、最近攻击时间、封锁状态、对攻击者查看威胁情报和攻击者画像,如下图所示。
点击<封锁>或者< >标志,可以选择重保中心配置的AF进行联动封锁,如下图所示。
点击< >可以进行威胁情报或者攻击者画像查看,如下图所示。
点击“同网段攻击者数”或者“受害者IP数”属性列对应的值可以看到同网段的攻击者IP和受害者IP统计,如下图所示。
在安全事件关联的攻击者数目较多的情况下,可以点击以xlsx格式<导出>。
风险资产
该安全事件关联的风险资产列表信息,并且还可以对风险资产进行导出、批量处置相关操作、单个联动处置等,如下图所示。
鼠标放置风险资产位置,可以选择关联查看资产详情或者风险详情,如下图所示。
处置建议
基于该事件的原理、风险危害等信息给出排查建议、处置建议和日常维护建议,如下图所示。
事件处置
对安全事件可以进行手动处置和联动处置,手动处置后的状态包括:已处置、处置中、挂起;联动处置是响应策略进行自动或手动处置。
手工处置
在[处置中心/威胁视角/安全事件]页面,勾选特定安全事件点击<操作>属性列下的<>图标,如下图所示。
勾选<已处置>,弹框中填写备注,必要时上传举证图片等,此时<处置状态>属性列会变为[已处置]状态,如下图所示。
可以下钻到事件详情页面进行手动处置,如下图所示。
可以下钻到安全事件的风险资产层面,按需对风险资产进行手工处置,如下图所示。
联动处置
在[处置中心/威胁视角/安全事件]页面,点击<>图标,弹出联动处置对话框,可以基于策略进行联动处置,如下图所示。
在对安全事件关联的具体风险主机颗粒度进行处置的时候,需要在事件详情的风险资产子页面,点击<>图标进行联动处置,如下图所示。
进入到联动处置对话框,可以看到可选的响应策略,包括内置策略中的:一键查杀、封锁域名/URL、虚拟机挂起、快照、新增虚拟机、虚拟机关机、隔离主机、冻结账号、上网提醒、冻结终端、访问控制等,还有通过克隆编辑或者自定义的策略,也可以根据安全事件/安全告警事件类型选择下拉,如下图所示。
点击<下一步>,会根据所选的动作进入到联动处置参数配置阶段,包括:匹配的联动设备选择、动作处置关联的选项等参数,不同的策略参数配置不一样,以内置的一键查杀策略为例,如下图所示。
点击<执行>,进行处置动作下发,可以看到页面上方提示<执行成功>,如下图所示。
在[处置中心/处置记录/策略执行历史]页面,可以看到既往的处置历史,包括状态、结果、策略相关的信息等,如下图所示。