- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-安全事件
本章节下载: 03-安全事件 (115.18 KB)
该功能用于从不同维度对全网中已发生的安全事件进行统计和展示。包括聚合模式和详情模式。
本章包含如下内容:
· 聚合模式
· 详情模式
· 查看安全事件详情
该功能用于统计和展示全网安全事件,以及受事件影响的内网主机信息。
1. 选择“处置中心 > 安全事件 > 聚合模式”进入安全事件聚合页面。
2. 选择“待处理事件”页签查看全网处理中和未处理的安全事件,以及事件影响的内网主机信息。
3. 选择“全部安全事件”页签查看全网安全事件,以及事件影响的内网主机信息。
4. 在“待处理事件”或“全部安全事件”页面,单击<导出>按钮可将安全事件导出为Excel表格文件并下载至本地。
5.
在“待处理事件”或“全部安全事件”页面,单击安全事件列表中
按钮可查看受事件影响的内网主机。其中,单击主机名称查看安全事件详情,单击
按钮可处理该主机上发生的此类安全事件。
· 事件名称分布
展示影响内网主机最多的Top 10安全事件及影响主机数,其中,受影响主机总数中,同一主机受多个安全事件影响时不重复统计。单击事件名称,页面下方表格将只展示该事件,以及受其影响的主机信息。
· 事件确信度分布
展示各级别确信度等级的安全事件影响的主机数,其中,受影响主机总数中,同一主机受多个级别安全事件影响时不重复统计。单击确信度级别,页面下方表格将只展示该级别事件,以及受其影响的主机信息。
该功能用于展示全网中已发生的安全事件详情,在安全事件页面,管理员可对已产生的安全事件进行手动下发剧本动作、处理、处置、添加白名单等操作。
1. 选择“处置中心 > 安全事件 > 详情模式”进入安全事件详情页面。
2. 支持按场景、统计周期等条件检索安全事件。其中,场景选择“今日新增”,页面将只展示今日发生的所有安全事件;选择“反复出现”则展示处理后再次发生的安全事件;选择“今日处理”则展示今日处理的安全事件。配置查询条件后,页面下方图表中将只展示符合查询条件的安全事件。
3. 单击编排配置图标,针对该类安全事件手动下发剧本。策略下发后,单击编排详情按钮查看剧本下发结果。
4. 选择一个安全事件,单击操作列详情图标进入安全事件详情页面,查看事件的详细信息。
5. 单击操作列的处理图标,可修改安全事件处理状态,并添加处理备注信息。
6. 单击操作列处置图标,可将事件添加到处置工单。
7. 单击操作列白名单图标,可将事件添加到白名单,系统将不再上报该类事件,减少误报。
8. 单击<导出>按钮可将安全事件列表导出为Excel表格文件并下载至本地。
· 编排状态为“未执行”表示该事件未匹配任何案件,需要手动选择剧本并下发,“待执行”表示事件已匹配非自动执行剧本的案件,需要手动下发剧本,“已执行”表示事件已匹配自动执行剧本的案件,无需手动下发。
· 若执行剧本动作的目标设备被删除,该剧本动作将会下发失败。剧本动作下发失败后,可在编排详情页面重新下发。
· 执行剧本动作的设备必须已经添加为资产,且资产管理协议配置为SSH或SOAP,同时配置时,优先使用SOAP。
· 由灰色事件分析引擎处理的事件,处理人将标记为灰色事件分析引擎。
· 安全事件的源/目的归属地字段的显示内容按照优先级由高到低依次为城市、省份和国家。仅当高优先级内容无法获取时,才显示低优先级内容。即,如果同时获取到了城市和省份,则仅展示出城市。例如,系统获取到安全事件的源归属地是中国江苏省南京市,则源归属地字段仅显示为南京。
· 当配置源/目的归属地查询条件时,若条件配置为低优先级内容,则查询结果中事件的源/目的归属地字段会显示为符合该条件的高优先级内容。例如,查询条件配置了源归属地为江苏省,则查询结果中,所有事件的源归属地字段将显示为南京等城市。
该功能用于展示网络中已发生的安全事件详细信息。
· 基本信息
展示安全事件的基本信息,包括安全事件名称、等级、源和目的IP、检测引擎、攻击阶段、处理状态等。同时,支持情报溯源和情报误报反馈功能。
○ 云端溯源:单击<情报溯源>按钮,选择“云端溯源”,页面自动跳转到云安全能力中心,并展示该情报的详细信息。
○ 本地溯源:单击<情报溯源>按钮,选择“本地溯源”,查看该情报的详细信息。
○ 误报反馈:单击<误报反馈>按钮,填写反馈人信息及误报证据。云安全能力中心管理员将接收并审核该信息,确认为误报后,管理员会手动更新情报启用状态为停用。
平台从云安全能力中心同步情报信息,并更新情报状态。停用的情报将不再匹配安全事件,并且,原来匹配的安全事件确信度降为“低可疑”。
· 事件趋势图
通过折线图展示首次发生时间到最近一次发生时间之间,该安全事件的发生趋势。
· 取证证据
○ 网络取证:通过分析安全设备上报的IPS抓包,展示资产发生的安全事件过程,有利于管理员对该事件进行分析取证。
○ 主机取证:展示终端主机上的进程在一段时间段内的操作行为和网络访问行为信息,有利于管理员对该进程进行分析取证。
· 风险危害
展示该安全事件攻击原理和对用户网络的威胁详情。点击编辑按钮可修改风险危害内容,点击恢复按钮可恢复为系统预定义的风险危害。用户编辑后的风险危害可在处置建议库页面查看。
· 处置建议
展示针对该安全事件的预定义处置方案。点击编辑按钮可修改处置建议内容,点击恢复按钮可恢复为系统预定义的处置建议。用户编辑后的处置建议可在处置建议库页面查看。
· 参考案例
单击“参考案例”下方的文字可跳转到内置案例库查看该事件的参考处理方案,若无参考案例则显示“暂无”。
· 威胁详情
展示该事件每一次发生的时间、事件描述信息、事件源和目的IP、原始日志信息等,以便管理更好的了解事件发生时间线,分析网络安全状态。
· 只有检测引擎为“日志分析”或“云端情报”且情报IOC字段不为空时,页面才会展示<溯源>和<误报反馈>按钮。
· 对风险危害和处置建议执行恢复默认操作后,处置建议库页面将删除相应的记录。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
