安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.77
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","外部攻击智能聚合")}}

外部攻击智能聚合

更新时间:2023-05-25

外部攻击智能聚合是通过外到内攻击的一部分安全日志,通过机器学习聚类算法进行分析和展示,将外部对内部某些资产的攻击行为聚合成攻击事件。

外部攻击智能聚合模块产生的攻击事件,和处置中心的安全事件是有区别的。前者主要是通过安全日志层面进行直接聚合产生的,后者是通过安全日志到安全告警再到安全事件层面。

点击<查看攻击者>可查看互联网的攻击IP地址,管理员可进行导出、网段复制、IP复制等操作,便于安全网关设备中进行添加,实现封锁。页面如下图所示。

 

  1. 详情页面部分可展示攻击描述、标签、威胁等级、资产组织、最近发生时间及日志数等信息。同时,本页面支持标签、资产组织、威胁等级等维度进行筛选,支持关键字检索,页面如下图所示。

点击<具体描述>会跳转至详细的攻击事件说明,如下图所示。

其中:

多维度模糊相似算法聚合逻辑:通过攻击目标、攻击地区、攻击手法、攻击IP四个维度对一段时间的攻击进行聚合分析;

攻击示意:展示攻击者主要使用哪些攻击去攻击目标业务;

详细信息:通过目标主机信息、攻击者信息、漏洞信息、攻击类型信息、攻击时间段来进行说明;

处置建议:可以查看对事件的处置建议。

查看日志:点击<日志数>可跳转至相应的[安全检测日志],提供详细的检测日志条目查看,如下图所示。