告警与事件
最近更新时间: 2024-10-17 17:10:00
1 事件列表
进入事件列表页面,页面布局如图3-所示,与资产管理相似。管理员可以查看事件趋势和事件详情,还可进行事件的导入、导出、响应和搜索等操作。
图3-事件管理页面
1.1 事件搜索
在页面左侧的事件搜索栏中,除了选择详细类别,还可以直接输入lucene查询语句进行搜索。
说明:
关于lucene查询语句的更多介绍,详见官方网址:https://www.elastic.co/guide/en/elasticsearch/reference/current/query-dsl-query-string-query.html
1.2 事件趋势图
选择时间范围查看事件的趋势,将鼠标悬浮在图中可以显示时间和事件数(与事件列表的数据实时同步)。单击【收起图表】可以将事件趋势图隐藏起来。
1.3 查看事件详情
在事件列表中,单击事件名称可以查看事件的严重性、信息概览和事件明细(对于日志源是御界的事件,还可以查看会话还原和PCAP信息),如图4-所示。
图4-事件详情
单击【编辑标签】即可为该事件添加标签。详见事件标签。
1.4 导出事件
在事件列表中,单击【导出】即可将所选事件导出为Excel文件,导出的事件内容即当前事件列表的展示列。
说明:
导出事件之前,建议在事件列表的右上方,单击【管理】自定义事件列表的展示列。
1.5 事件标签
在事件列表上方,单击【标签】可以为所选的事件添加标签或删除已有标签,如图5-所示。
图5-编辑事件标签
1.6 事件列表快捷菜单
与告警列表的快捷菜单基本相同,详见告警列表快捷菜单。
2 告警列表
进入告警列表页面,页面布局如图6-所示,与资产管理相似。管理员可以查看攻击事件趋势图、攻击链分布图、告警详情和告警策略,还可进行告警的导出、响应、搜索、状态变更和编辑标签等操作。
图6-告警管理页面
2.1 告警搜索
与事件搜索的操作相同,详见事件搜索。
2.2 攻击事件趋势图
选择时间范围查看攻击事件的趋势,将鼠标悬浮在图中可以显示时间和各类攻击事件数(与告警列表的数据实时同步)。单击【收起图表】可以将攻击事件趋势图隐藏起来。
2.3 攻击链分布图
选择时间范围查看攻击链的分布,将鼠标悬浮在色块上可以显示时间和对应攻击类别的事件数(与告警列表的数据实时同步)。单击【收起图表】可以将攻击链分布图隐藏起来。
2.4 查看告警详情
在告警列表中,单击告警名称可以查看告警的状态、威胁等级、可信度等级、发生次数、攻击结果、基本信息、攻击流程与信息、攻击者IP信息、攻击链阶段、告警描述、处置建议、告警明细和攻击链分析等,如图7-图9-图10-所示。 查看攻击者IP和受害者IP信息时,单击IP右侧的图标…弹出快捷菜单,可以针对该IP进一步操作,如图8-所示。
图7-告警详情(信息概述)
图8-告警详情(信息概述)-攻击者IP的快捷菜单
图9-告警详情(告警明细)
图10-告警详情(攻击链分析)
单击【变更状态】即可修改该告警的状态。
2.5 告警标签
与事件标签的操作相同,详见事件标签。
2.6 告警状态变更
如图11-所示,可以批量选择将告警的状态变更为处理中、已处理或误报。
图11-告警状态变更
2.7 导出告警
在告警列表中,单击【导出】即可将所选告警导出为Excel文件,导出的告警内容即当前告警列表的展示列。
说明:
导出告警之前,建议在告警列表的右上方,单击【管理】自定义告警列表的展示列。
2.8 告警列表快捷菜单
在告警列表中,鼠标右键单击告警名称、攻击者IP、受害者IP、源IP、目的IP、关联规则ID、关联规则名、资产名称、资产组或者资产负责人,即可弹出快捷菜单,以便于一系列操作的连贯性。例如:鼠标右键单击受害者IP,弹出快捷菜单,如图12-所示。
图12-告警列表快捷菜单
说明:
1)不同的告警字段和资产状态,对应的快捷菜单项也会稍有不同。
2)只有外网IP,才能进行威胁情报查询和Virus Total查询。
3)若要针对IP进行威胁情报查询,请联系售后支持人员获取安图高级威胁追溯系统的登录权限。
3 策略管理
展示目前用于判断告警的策略,支持搜索、过滤。
图13- 策略管理页面