平台通过对恶意C2通信活动和恶意URL访问的安全日志做智能分析,将展示筛选范围内的风险总览,云威胁处置分析,新型威胁最新动态,安全事件举证和安全处置建议。通过AI安全引擎的实时云查及深度分析,一览云端威胁近况。
1、授权前置条件:控制台左下角【订阅中心】>【SASE-AF 云端安全防护】服务确认开通,若无授权,参考《快速开通SASE》章节。
2、引流前置条件:已通过硬件引流器(RT/SDW-R/AF)或引流客户端(BYOD客户端或ZTNA客户端)的方式成功接入云安全访问平台,控制台首页可看到用户在线,接入操作参考《快速入门》章节。
1、登录云图,在【订阅商店】登入【SASE上网安全】,在左侧菜单栏选择分析>安全威胁分析>云威胁情报分析页面,查看风险总览,云威胁处置分析,新型威胁最新动态,安全事件举证和安全处置建议。支持自定义筛选时间范围(最近24小时、最近7天、最近30天或自定义),部门和分支。
2、在风险总览,
恶意威胁防护视角,支持查看筛选范围内的恶意C2通信活动和恶意URL访问拦截总数,及按威胁等级分布和载体类型分布的拦截日志条目数。
点击拦截总数的数字,可跳转查看相应拦截的详细日志。
风险终端视角,展示了待处置风险终端总数,及在各失陷等级的分布。
点击待处置终端数的数字,可跳转查看各风险终端的详细用户信息,威胁类型,EDR安装情况和平台给出的处置建议。
3、在云威胁处置分析,经过挖矿检测引擎,黑客工具检测引擎,C2远控检测引擎和钓鱼检测引擎的实时云查和深度分析,支持查看筛选范围内的TOP5热门威胁。
点击对应热门威胁的攻击数统计数字,支持查看相应威胁类型的详细拦截日志。
4、在新型威胁最新动态,动态展示了深信服威胁情报中心最新收录的30条最新威胁情报。终端对网络云端IP、URL和域名的访问,均将上报至深信服云端引擎,获取深信服威胁情报中心最新情报的分析与识别,异常行为实时触发拦截封锁。
5、在重点事件举证,
威胁事件TOP10,展示了时间范围内触发威胁防护次数TOP10的恶意IP/URL/域名,点击对应威胁名称,可查看详细防护日志。
风险终端TOP10,展示了时间范围内触发威胁防护次数TOP10的风险终端,点击对应用户名,可跳转查看详细的用户信息、处置建议和威胁举证。
6、在安全处置建议,平台结合网络安全现况,提供结合拦截,根治和持续运营的一体化安全防护方案。
建议使用Chrome浏览器访问!
