告警与事件

最近更新时间: 2024-10-17 17:10:00

1 事件列表

进入事件列表页面,页面布局如图3-所示,与资产管理相似。管理员可以查看事件趋势和事件详情,还可进行事件的导入、导出、响应和搜索等操作。

图3-事件管理页面

图3-事件管理页面

1.1 事件搜索

在页面左侧的事件搜索栏中,除了选择详细类别,还可以直接输入lucene查询语句进行搜索。

说明:

关于lucene查询语句的更多介绍,详见官方网址:https://www.elastic.co/guide/en/elasticsearch/reference/current/query-dsl-query-string-query.html

1.2 事件趋势图

选择时间范围查看事件的趋势,将鼠标悬浮在图中可以显示时间和事件数(与事件列表的数据实时同步)。单击【收起图表】可以将事件趋势图隐藏起来。

1.3 查看事件详情

在事件列表中,单击事件名称可以查看事件的严重性、信息概览和事件明细(对于日志源是御界的事件,还可以查看会话还原和PCAP信息),如图4-所示。

图4-事件详情

图4-事件详情

单击【编辑标签】即可为该事件添加标签。详见事件标签。

1.4 导出事件

在事件列表中,单击【导出】即可将所选事件导出为Excel文件,导出的事件内容即当前事件列表的展示列。

说明:

导出事件之前,建议在事件列表的右上方,单击【管理】自定义事件列表的展示列。

1.5 事件标签

在事件列表上方,单击【标签】可以为所选的事件添加标签或删除已有标签,如图5-所示。

图5-编辑事件标签

图5-编辑事件标签

1.6 事件列表快捷菜单

与告警列表的快捷菜单基本相同,详见告警列表快捷菜单。

2 告警列表

进入告警列表页面,页面布局如图6-所示,与资产管理相似。管理员可以查看攻击事件趋势图、攻击链分布图、告警详情和告警策略,还可进行告警的导出、响应、搜索、状态变更和编辑标签等操作。

图6-告警管理页面

图6-告警管理页面

2.1 告警搜索

与事件搜索的操作相同,详见事件搜索。

2.2 攻击事件趋势图

选择时间范围查看攻击事件的趋势,将鼠标悬浮在图中可以显示时间和各类攻击事件数(与告警列表的数据实时同步)。单击【收起图表】可以将攻击事件趋势图隐藏起来。

2.3 攻击链分布图

选择时间范围查看攻击链的分布,将鼠标悬浮在色块上可以显示时间和对应攻击类别的事件数(与告警列表的数据实时同步)。单击【收起图表】可以将攻击链分布图隐藏起来。

2.4 查看告警详情

在告警列表中,单击告警名称可以查看告警的状态、威胁等级、可信度等级、发生次数、攻击结果、基本信息、攻击流程与信息、攻击者IP信息、攻击链阶段、告警描述、处置建议、告警明细和攻击链分析等,如图7-图9-图10-所示。 查看攻击者IP和受害者IP信息时,单击IP右侧的图标…弹出快捷菜单,可以针对该IP进一步操作,如图8-所示。

图7-告警详情(信息概述)

图7-告警详情(信息概述)

图8-告警详情(信息概述)-攻击者IP的快捷菜单

图8-告警详情(信息概述)-攻击者IP的快捷菜单

图9-告警详情(告警明细)

图9-告警详情(告警明细)

图10-告警详情(攻击链分析)

图10-告警详情(攻击链分析)

单击【变更状态】即可修改该告警的状态。

2.5 告警标签

与事件标签的操作相同,详见事件标签。

2.6 告警状态变更

如图11-所示,可以批量选择将告警的状态变更为处理中、已处理或误报。

图11-告警状态变更

图11-告警状态变更

2.7 导出告警

在告警列表中,单击【导出】即可将所选告警导出为Excel文件,导出的告警内容即当前告警列表的展示列。

说明:

导出告警之前,建议在告警列表的右上方,单击【管理】自定义告警列表的展示列。

2.8 告警列表快捷菜单

在告警列表中,鼠标右键单击告警名称、攻击者IP、受害者IP、源IP、目的IP、关联规则ID、关联规则名、资产名称、资产组或者资产负责人,即可弹出快捷菜单,以便于一系列操作的连贯性。例如:鼠标右键单击受害者IP,弹出快捷菜单,如图12-所示。

图12-告警列表快捷菜单

图12-告警列表快捷菜单

说明:

1)不同的告警字段和资产状态,对应的快捷菜单项也会稍有不同。

2)只有外网IP,才能进行威胁情报查询和Virus Total查询。

3)若要针对IP进行威胁情报查询,请联系售后支持人员获取安图高级威胁追溯系统的登录权限。

3 策略管理

展示目前用于判断告警的策略,支持搜索、过滤。

图13- 策略管理页面

图13- 策略管理页面