安全告警是指深信服安全检测与响应平台XDR检测到的您现网资产中存在的威胁,这些威胁通常是某个恶意IP对您资产进行的攻击。
在安全告警分析导航栏,支持以24小时、7天等频率展示该统计时间安全事件结果;支持以15秒、1分钟、5分钟等刷新频率自动刷新展示安全告警,在重保、攻防对抗等关键时期,可以设置自动刷新频率,省去重复性点击动作,结合过滤条件帮助您更好聚焦安全研判。例如间隔5分钟自动刷新XDR检出的严重等级安全告警。
在安全告警分析导航栏,支持以告警等级(严重、高危、中危、低危等)、告警三级分类标签(如脆弱性风险、邮件攻击、漏洞攻击等)、攻击结果(成功、失陷、尝试、失败)以及访问方向(无、内到外、外到内、内对内)等条件快速过滤展示,帮助您更聚焦目标时间段内高价值安全告警。例如过滤对10.33.97.100主机攻击结果为失陷的安全告警。
告警全文检索规则规格说明(含限制条件),目前支持的字段:源IP、目的IP、XFF、主机IP、URL
源IP、主机IP、目的IP支持like语句模糊搜索
搜索之后,IP顺序发生改变,优先展示搜索过的IP。
安全告警检测引擎:NAE引擎,必须是N+E且带进程链的告警
威胁定性可以帮助用户更好地了解安全威胁的类型、来源、影响等信息,从而提高用户的安全意识和防范能力,帮助安全管理员更好地了解安全威胁的特征和行为模式,从而加强安全防御措施,提高安全防御的准确性和效率,帮助企业更好地了解安全威胁的风险和影响,从而优化安全投入,提高安全投入的效益和回报。
安全告警的威胁定型将安全分为9类告警,分别为:
针对安全告警的操作主要有以下几种,分别为标记状态、封禁地址、隔离主机、处置文件、信任文件、加白名单、发起工单以及执行SOAR。
同样支持将鼠标移动至具体安全告警上右键对安全告警进行操作。右键菜单栏内置小工具,如复制单元格以及复制整行支持快速将值复制到剪贴板,解码工具支持多种格式编码转换,省去手动打开解码网站进行Payload解码查看。
处置告警的时候,点击封禁IP,支持自动填充需要封禁的IP、域名、URL,提高处置效率。
默认填充告警类型,日志规则ID(无日志规则ID填充告警规则ID),源IP,源端口,目的IP,目的端口,MD5,URL,域名,如果这些字段为空值则隐藏。
用户可以在上图功能点所示页面上进行用户自定义告警规则的配置,目前支持配置字段为源IP、源端口、目的IP、目的端口、告警规则ID、日志规则ID、域名、URL、XFF、文件路径、文件MD5、告警等级、确定性等级、检测引擎、风险标签、攻击结果、ATTCK技术、数据源-原始、访问方向、威胁定性。
用户配置完成后即在页面列表上展示出一条对应的规则,该规则会被下发至能力引擎,当有对应的告警命中此规则时,即可根据用户配置生成对应的事件。
在安全告警分析导航栏下,点击页面中右侧齿轮状按钮,在弹出窗口中配置重点关注告警属性,包含资产、攻击结果、告警定性、告警类型、访问方向、是否关联事件。
举例:比如重点关注资产有服务器资产,攻击结果为成功,告警定性为定向攻击,告警类型为全部、访问方向为全部,是否关联事件为已关联、未关联。
配置完成后,点击”仅看重点关注“,展开重点关注告警。
提供网络侧安全告警,新增IPS、黑客工具、IOC安全告警的解读;提升了WAF类安全告警的解读能力、更多的类型安全告警的解读;
目前80%的安全告警,都支持安全GPT解读;
建议使用Chrome浏览器访问!
