06-风险
本章节下载: 06-风险 (494.65 KB)
目 录
高危(未处理):系统仅显示最近12小时的告警数据。
高危(未处理)指所有未处理的高危告警信息。
(1) 进入[风险/告警/高危(未处理)]界面,在未处理的列表中,勾选出需要处理的告警。如图1-1所示。
(2) 点击<处理所选>,打开处理页面,处理已选择的告警记录;如需全部处理,点击<处理全部>,打开[处理]页面,处理列表中所有的告警记录。如图1-2所示。
(3) 在处理页面,选择处理状态和添加描述信息。
(4) 点击<提交>,提交处理信息;点击<取消>,关闭页面,取消操作。
全部(未处理)包括所有未处理的告警信息。
(1) 进入[风险/告警/全部(未处理)]界面,在未处理的列表中,勾选出需要处理的告警。如图1-3所示。
(2) 点击<处理所选>,打开处理页面,处理已选择的告警记录;如需全部处理,点击<处理全部>,打开[处理]页面,处理列表中所有的告警记录。如图1-4所示。
(3) 在处理页面,选择处理状态和添加描述信息。
(4) 点击<提交>,提交处理信息;点击<取消>,关闭页面,取消操作。
对某一时间段的告警信息进行分析,总结出SQL模板和发生的次数。
(1) 进入[风险/告警/告警分析],打开告警分析界面。
图1-5 告警分析查询页面
(2) 根据具体情况,填写相关的查询参数。
选项 |
用途说明 |
风险级别 |
可选项。选择风险级别。默认为“全部” |
业务主机群 |
可选项。选择业务主机群。默认为“全部” |
客户端IP段 |
可填项。举例:192.168.3.*或192.168.*.* |
客户端工具 |
可选项。默认为“全部”。 |
时间范围 |
可选项。指告警发生的时间范围。默认为“最近12小时” 点击<自定义时间>,弹出自定义时间输入框 |
状态 |
可选项。告警处理的状态。默认为“未处理”。 点击<更多条件>,弹出处理相关的更多相关信息 |
规则 |
可选项。选择相关的规则库。默认为“全部” |
来访客户网络 |
可选项。选择来访客户网络。默认为“全部” |
客户端Mac段 |
可填项。输入客户端Mac段。举例:0a:0b:0c:*:*:* |
账号 |
可选项。登录到数据库的账号 |
处理人 |
可填项。点击<显示更多>,弹出处理人和处理时间 |
处理时间 |
可选项。点击<处理时间>,弹出时间输入框 |
(3) 单击<查询>,查询告警分析结果。
图1-6 告警分析结果页面
(4) 选择某一条SQL模板,点击操作列中“详细”图标,查看该模板对应的告警详细信息。
图1-7 告警分析模板详细页面
查询告警信息。分为基础查询和高级查询两种方式。
(1) 进入[风险/告警/查询]界面,单击“基本查询”标签打开基本查询界面。如图1-8所示。
(2) 根据基础查询条件,填写相关的查询参数。参见表1-2。
(3) 相关查询参数填写后,点击<查询>,进行查询。
(4) 查看查询结果。查询结果查询结果显示在查询条件的下方。
选项 |
用途说明 |
时间范围 |
可选项。指告警发生的时间范围。默认为“最近12小时” 点击<自定义时间>,弹出自定义时间输入框 |
规则 |
可选项。选择相关的规则库。默认为“全部” |
风险级别 |
可选项。选择风险级别。默认为“全部” |
业务主机群 |
可选项。选择业务主机群。默认为“全部” |
来访客户网络 |
可选项。选择来访客户网络。默认为“全部” |
账号 |
可填项。登录到数据库的账号 |
客户端工具 |
可选项。默认为“全部”。 |
操作系统用户 |
可填项。客户端操作系统用户 |
SID |
可填项。SID信息 |
客户端IP段 |
可填项。查询方式可选择等于或不等于。举例:192.168.3.*或192.168.*.* |
客户端Mac段 |
可填项。查询方式可选择等于或不等于。输入客户端Mac段。举例:0a:0b:0c:*:*:* |
服务端端口 |
可填项。服务器端端口号 |
服务端IP段 |
可填项。查询方式可选择等于或不等于。举例:192.168.3.*或192.168.*.* |
服务端Mac段 |
可填项。查询方式可选择等于或不等于。举例:0a:0b:0c:*:*:* |
影响行数 |
可填项。查询方式可选择大于、小于、大于等于、小于等于、等于 |
SQL长度 |
可填项。查询方式可选择大于、小于、大于等于、小于等于、等于。单位可选择字节和KB |
返回结果集大小 |
可填项。查询方式可选择大于、小于、大于等于、小于等于、等于。单位可选择字节、KB、MG、GB |
执行时长 |
可填项。查询方式可选择大于、小于、大于等于、小于等于、等于。单位可选择毫秒和秒 |
状态 |
可选项,默认是“未处理” |
返回结果集 |
可填项。返回结果集,支持模糊查询,但如果告警数据量大时不建议使用此查询条件 |
执行结果 |
可填项,执行结果,精确查询 |
(1) 进入[风险/告警/查询]界面,单击“高级查询”标签打开高级查询界面。如图1-9所示。
(2) 根据基础查询条件,填写相关的查询参数。参见表1-3。
(3) 相关查询参数填写后,点击<查询>,进行查询。
(4) 查看查询结果。查询结果查询结果显示在查询条件的下方。
选项 |
用途说明 |
风险级别 |
必填项,填入规则名称 |
操作类型 |
必填项,默认为“启用”,如选择禁用,则不可用 |
业务主机 |
必选项,可选择自定义的规则组,也可以选择系统默认规则组 |
规则 |
可填项,指访问业务类型的客户端IP地址 有两种方式: · 直接填写。可填写多个IP,多个IP用以“,”分割; · 从“来访客户网络”中选择。“来访客户网络”的内容在[配置/常规/来访客户网络]中配置,也可以单击<例外IP>,则如来源IP在“例外IP”中,虽然也在“来访客户网络”中,但不触发告警 |
客户端IP |
可填项,客户端的MAC地址 |
账号 |
可选项,规则中需要关注的HTTP的请求方法,如GET、POST、HEAD |
客户端工具 |
可填项,请求URL地址,支持正则验证 |
时间范围 |
可选项。指告警发生的时间范围。默认为“最近12小时” 点击<自定义时间>,弹出自定义时间输入框 |
报文 |
可选项,可选多项,HTTP目前有4个版本:0.9,1.0,1.1,2.0 |
来访客户网络 |
可填项,HTTP客户程序向服务器发送请求的时候必须指明请求类型。单击<添加>选择请求头类型,填写相关信息 |
服务端IP |
可填项,请求中的参数信息,存在于cookie、post内容或者url中 |
关联账号 |
可填项,由3位十进制数字组成,出现在由HTTP服务器发送的响应的第一行 |
SID |
可选项,如果审计的记录内容符合白名单则不告警 |
查询统计规则触发的告警信息。
(1) 打开[风险/告警/统计告警]页面,可以根据条件查询统计告警。
图1-10 统计告警查询
列表中相关信息说明如下:
表1-4 统计列表信息说明
选项 |
用途说明 |
告警级别 |
分为高,中,低,关注行为 |
状态 |
只有告警触发次数达到累计次数时才会触发统计告警,允许范围2到30次。 |
规则 |
统计规则名,点击规则名链接可以查看具体的统计规则信息 |
统计条件 |
有同一客户端IP,同一会话,同一数据库账号,同一客户端工具 |
条件值 |
统计条件为同一客户端IP,则显示为IP地址 统计条件为同一会话,则显示会话ID 统计条件为同一数据库账号,则显示数据库账号 统计条件为同一客户端工具,则显示客户端工具 |
开始时间 |
统计开始时间 |
结束时间 |
统计结束时间 |
累计用时 |
统计时长 |
累计次数 |
统计周期内触发规则的记录数 |
操作 |
点击“操作”按钮,可以对此统计规则进行操作。 |
(2) 点击列表中“累计次数”,可以查看该统计告警详细信息,即触发规则的相关审计信息。
图1-11 告警详细
(3) 点击“导出CSV”图标,可以导出统计信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!