登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecCenter CSAP-SA 综合日志审计平台 Web配置指导(E17XX E180X E1103)-5W105

目录

04-事件

本章节下载 04-事件  (788.49 KB)

04-事件

事件

本章节主要介绍以下功能:

·     事件明细

·     事件概览

·     关联规则

功能简介

该功能用于展示网络中已发生的安全事件详细信息,包括该事件原始日志、事件命中的关联规则详情。

操作步骤

1.     选择事件 > 事件明细进入关联事件明细页面。

图-1 关联事件明细页面

 

2.     查询事件明细:支持按源/目的IP、事件等级等条件检索事件信息。

3.     导出关联事件:按条件查询关联件事件后,点击<导出>按钮即,可将满足查询条件的关联事件导出到表格中,并下载到本地;若无查询条件则导出所有事件。最多只能导出10000条事件。

4.     查看事件命中的关联规则:单击指定关联事件“规则名称”列下的取值,可查看事件命中的关联规则的详细信息。

5.     查看事件原始日志:单击指定关联事件原始日志数列下的数字,可查看匹配关联规则并输出该事件的所有原始日志的详细信息。

参数说明

·     发现时间:系统监测到该关联事件的时间。

·     事件等级:关联事件的严重级别。

·     事件名称:关联事件名称,由关联规则定义。

·     原始事件名称:原始日志中记录的事件名称。

·     IP:攻击源IP地址。

·     目的IP:攻击目的IP地址。

·     规则名称:输出该关联事件的关联规则名称。点击可查看关联规则详情。

·     事件描述:关联事件描述信息,由关联规则定义。

·     原始日志数:匹配关联规则并输出关联事件原始日志数量。点击可查看原始日志信息。

功能简介

该页面用于从多个维度展示统计周期内的关联事件汇总信息。系统默认展示按事件类型分布、事件严重级别分布、发生事件设备类型分布、攻击目的端口分布、事件源IP分布、事件目的IP分布进行统计的统计图表。用户可自定义需要统计的数据类型及呈现方式。

操作步骤

1.     选择事件 > 事件概览进入事件概览页面。

图-2 事件概览页面

 

2.     选择统计周期,默认展示最近24小时的安全事件信息。

3.     自定义需要展示的数据及呈现方式:点击某个图表右上角的<自定义>按钮,在弹出的自定义图表窗口,配置以下参数后单击<确认>,页面将展示自定义的图表数据。

图-3 自定义图表页面

 

○          图表名称:设置展示在每个图表左上角的名称。

○          统计属性:选择需要统计的数据类型。

○          图表类型:统计数据的呈现方式,包括折线图、饼图、柱状图。

页面介绍

·     事件类型分布

根据发生的关联事件类型进行统计,并通过饼状图展示发生次数最多的前十个安全事件总数和百分比。

·     事件等级分布

根据发生的安全事件等级进行统计,并通过饼状图展示每种级别事件总数和百分比,单击某个级别对应的区块可进入安全事件明细页面,查看该所有该级别的安全事件信息。

·     发生事件设备类型分布

根据上报安全事件设备类型进行统计,并通过饼状图展示上报安全事件次数最多的前十种设备类型及其上报的安全事件的总数和百分比。

·     攻击目的端口分布

根据安全事件所攻击的目的端口进行统计,并通过饼状图展示被攻击次数最多的前十个端口及其被攻击总数和百分比。

·     事件源IP分布

根据发生安全事件的源IP地址统计,并通过柱状图展示发生安全事件次数最多的前十个源IP地址及每个IP地址所发生关联事件的数目。单击某个源IP地址对应的区块可进入关联事件明细页面,查看该源IP地址发生的所有关联事件信息。

·     事件目的IP分布

根据发生关联事件的目的IP地址进行统计,并通过柱状图展示发生关联事件次数最多的前十个目的IP地址及每个IP地址所发生关联事件的数目。单击某个目的IP地址对应的区块可进入关联事件明细页面,查看该目的IP地址发生的所有关联事件信息。

功能简介

关联规则用于对一段时间内采集器上报的日志,按照一定的规则进行关联分析,匹配关联规则的日志将会聚合输出一个关联事件,并在事件明细页面进行展示。以便管理员实时监控整网安全情况,并根据事件信息进行有针对性的排查并采取相应的措施,确保网络安全。系统支持以下两种类型的关联规则:

·     预定义关联规则:系统内置的关联规则算法,可以在海量日志和流量中关联分析出异常信息。预定义关联规则不能修改或删除,只能启用或停用。

·     自定义关联规则:用户可根据实际需求自定义关联规则并对其进行管理,包括新增、删除、启用、停用关联规则。

使用限制和配置指导

·     通过特定字段前后加占位符%方式表示安全事件的事件名称和事件描述时,在关联事件页面展示时特定字段将被替换为该字段的实际取值。特定字段选择配置攻击类型、攻击名称、攻击目的、攻击源、源地址、目的地址、主机名称、目的用户、源用户。

·     建议不要配置过长的时间窗。否则会影响匹配性能。

·     关联规则停用后,不会影响停用前匹配的数据展示。

新增自定义关联规则

操作步骤

1.     选择事件 > 关联规则进入关联规则页面。     

2.     单击<新增>按钮进入新增关联规则页面,配置相关参数后单击<确认>按钮完成操作。

图-4 新增关联规则

 

3.     对于已配置的规则可通过启用和停用按钮改变规则的状态。

参数说明

·     规则定义

○          规则名称:规则的唯一标识。

○          规则描述:规则的描述,通过合理编写描述信息,便于管理员快速理解和识别该规则。

○          时间窗:规则匹配事件的时间段,只有在时间窗内到达系统的事件才会进行匹配。时间窗单位可选秒、分钟、小时,必须是正整数,无论选择任何单位,时间窗长度都不能超过1小时。

·     事件输出

○          事件名称:匹配关联规则的关联事件的名称,可文字描述或通过在特定字段前后加占位符%来进行变量替换,例如:%攻击类型%攻击。

○          事件描述:匹配关联规则的关联事件的详细描述,可直接描述或通过在特定字段前后加占位符%来进行变量替换,例如:发现%资产名%遭受%攻击类型%攻击,攻击名称%攻击名称%

○          事件等级:匹配关联规则的关联事件的严重等级,可选择低危、中危、高危、严重。

·     规则配置

用于匹配原始日志的子规则。点击<添加>按钮进入新增子规则页面,配置相关参数后单击<确认>按钮完操作;点击<添加>按钮可删除已配置的子规则。

图-5 新增子规则

 

○          子规则名称:子规则的唯一标识。

○          子规则描述:子规则的详细描述,通过合理编写描述信息,便于管理员快速理解和识别该规则。

○          条件属性:该规则只对此类型的日志进行匹配。

○          聚合:用于对满足条件的日志聚合上报事件。例如,若设备采集到100条满足匹配条件的暴力破解攻击日志,若未配置聚合功能,则对100条攻击日志均上报事件,若配置了聚合功能,则根据聚合条件的配置上报事件。系统默认未开启聚合功能。

○          分组字段选择:根据所选的关键字段对所有满足匹配条件的日志进行首次分组聚合,关键字段取值相同的日志为一组,每组聚合为一条日志。例如, 对于设备收到的100条满足匹配条件的暴力破解攻击日志,若需要根据攻击源聚合上报日志,则可以将分组字段选择配置为用户登录IP”

○          统计次数:若根据分组字段聚合后的日志条数大于或等于配置的分组字段统计次数,且未配置解析字段选择,则将聚合日志上报为事件, 若配置了解析字段选择则继续匹配解析字段条件;否则分组字段匹配失败,不上报事件。例如:对于设备收到的100条满足匹配条件的暴力破解攻击日志, 假设配置的分组字段选择为用户登录IP”,分组字段统计次数为10。即根据用户登录IP地址对设备收到的100条暴力破解日志进行分组, 若分组个数大于等于10(登录用户的个数大于等于10),则上报事件,否则认为攻击规模不具有威胁性,不上报日志。

○          解析字段选择:配置解析字段后,系统将根据解析字段所选的关键字对首次分组聚合的日志进行二次聚合,关键字段取值相同的日志为一组,每组聚合为一条日志。 例如,假设经过首次聚合后,聚合输出20条来自不同登录IP的暴力破解攻击日志。若需要根据产生日志的设备IP再次聚合,则可以将解析字段选择配置为产生日志的设备IP”

○          相同值统计次数:若聚合后的日志条数大于或等于配置的解析字段相同值统计次数,则继续进行后续判断。例如,假设经过首次聚合后, 聚合输出20条来自不同登录IP的暴力破解攻击日志。若配置解析字段选择为产生日志的设备IP”,解析字段相同值统计次数为1。即根据产生日志的设备IP地址对首次聚合后的攻击日志 再次进行聚合,若再次聚合后的日志条数大于等于1(产生日志的设备个数大于等于1),则继续匹配解析字段不同值最小个数,否则认为攻击规模不具有威胁性,不上报日志。

○          不同值最小个数:经过解析字段聚合后生成的日志条数,如果大于或等于配置的解析字段不同值最小个数,则在聚合的日志中依据继承策略选择一条日志上报为事件; 否则不上报事件。例如,假设经过再次聚合后,聚合输出12条来自不同登录IP、不同日志设备的暴力破解攻击日志。若配置解析字段不同值最小个数为10 则判断上一步聚合后的日志条数12大于10(产生日志的设备个数大于10),则依据继承策略选择一条日志上报事件,否则认为攻击规模不具有威胁性,不上报日志。

○          上报事件依据:指定聚合日志输出和上报事件的时间依据。若选择最早时间,则选择产生时间最早的日志为聚合日志或上报事件; 若选择最晚时间,则选择产生时间最早的日志为聚合日志或上报事件。

·     匹配条件

设置匹配条件间的逻辑关系:用于设置多个条件之间的逻辑关系,可选择与、或和自定义。在使用自定义的逻辑关系时,可使用ORAND来组合成逻辑表达式,例如,1 and (2 or 3) and 4

○          设置匹配条件:指定匹配条件的关键字段和实际取值之间连接关系,包括:“=”=”“>”“<”“>=”“<=”

○          添加匹配条件:点击按钮可以增加一个匹配条件, 点击按钮可以删除一个匹配条件。

○          子规则关系:一个关联规则下可添加多个子规则,多个子规则之间的匹配顺序可以选择全部匹配、任一匹配或顺序匹配。只有配置了多个子规则时才显示该字段。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们