横向访问分析主要包括服务器流量排行及最活跃的源主机分析。服务器流量排行主要针对内网服务器的流量情况进行展示,如哪些服务器流量最大、访客最多,以及从资产组角度分析各资产组对服务器的访问情况;最活跃源主机是指按照其访问过的目的IP数来排序,可视对内部大量主机发起访问的源,辅助快速发现隐藏较深的扫描攻击。
服务器流量排行
在[横向流量可视/服务器流量排行]页面,管理员可查看以下整体数据:
• 应用流量:默认展示检测到服务器Top5的应用流量的趋势展示,管理员可在对应页面右上角切换为应用流量分布显示;
• 协议端口流量:检测到服务器Top5协议端口流量的趋势展示,管理员可在对应页面右上角切换为协议流量分布显示。
TOP5应用趋势/协议端口流量展示如下图所示。
应用/协议流量分布展示如下图所示。
最活跃的源主机
最活跃的源主机是指按照其访问过的目的IP数来排序,可视对内部大量主机发起访问的源,可辅助快速发现隐藏较深的扫描攻击。
在[横向流量可视/最活跃的源主机]页面,包括:端口访问次数排名、按访问IP数排序、按访问次数排序、按访问流量排序以及每一个排序对应的访问关系图,如下图所示。
其中:
• 端口:代表时间段内被访问次数TOP20端口以及各自被访问次数。
• 按访问IP数排序:主动访问IP总个数作为统计维度TOP5;
• 按访问次数排序:按主动访问的所有目标的总次数TOP5;
• 按访问流量排序:按访问流量大小作为统计维度TOP5;
同时点击左侧源主机,右侧会以访问关系网的形式对应展示出来,如下图所示。
点击每一个关系网中的<全部>图标,页面会跳转到威胁潜伏黄金眼详情页面,可以看到详细的多维度信息,如下图所示。
同时可以根据聚合模式或者详情模式进行源主机的详情进行列表展示。
在[聚合模式]方式下,可查看源IP、目标IP数、目的端口、首次请求时间、最近请求时间及日志数等信息,管理员可在右上角侧进行关键字搜索,或在左上角点击<导出表格>进行批量导出操作。
当点击具体的源IP时,会跳转至[潜伏威胁黄金眼]页面进一步展示详细信息。当点击具体的日志数时,会跳转至[分析中心/日志检索] 自动筛选对应日志。
步骤86在[详情模式]方式下,可查看访问源、访问源属性、访问目标、目标属性、服务、流量大小及访问次数,管理员可在右上角侧进行关键字搜索/高级搜索,或在左上角点击<导出表格>进行批量导出操作。
• 说明:
高级搜索可针对源和目标的所属资产类型及主机名/IP进行检索,同时支持关键字搜索。
当管理员进行以下两个操作后,会展示更详细的信息,如下图所示:
• 点击每行左侧“+”号,可展开详细信息;
• 当鼠标悬停至具体访问源或访问目标时,可点击<
>选择“查看它访问了谁/查看谁访问了它”,进一步针对性检索并展开相关信息。
• 说明:
点击<
>可跳查看对应黄金眼信息。
当管理员当点击具体的服务或访问次数时,会跳转至[分析中心/日志检索/审计日志]页面下自动筛选对应日志。
建议使用Chrome浏览器访问!
