总览全局安全事件统计信息，多维度展示全网威胁分析结果，及时感知资产风险。还可对风险资产、风险终端和攻击者进行画像，并可展示资产存在的脆弱性风险统计信息，有利于管理员直观地掌控系统脆弱性状态，提前对整网安全趋势做预断。

本章包含如下内容：

·     安全告警

·     安全事件

·     攻击者视角

·     风险资产视角

·     脆弱性视角

安全告警

该功能用于统计和展示全网发生的安全告警。当网络中频繁发生安全告警时，安全告警列表中会出现大量信息，不利于运维人员进行安全分析。为了方便运维人员分析，平台支持配置多种查询条件，并根据查询结果在页面上方以图表形式展示安全告警的统计信息和趋势图，并在页面下方以表格形式详细展示安全告警的主要信息。其中，查询条件支持收藏，方便后续查询。
管理员可对安全告警进行处理、处置、编排、添加白名单、研判和查看详情等操作：

·     处理：修改安全告警处理状态，支持批量处理和单个处理。安全告警处理状态缺省为“未处理”，若告警无需处理，管理员需手动修改其状态为“忽略”，若告警已线下处理过，则需手动修改其状态为“已处理”。平台分析资产及网络安全状态时，不再将“已处理”和“忽略”的告警纳入统计数据。
除了支持手动修改告警处理状态外，平台内置了灰色事件分析引擎，内含泊松分析模型、C段分析模型、基于用户处置知识的判定模型三种分析模型。可对最近30天"未处理"状态的告警进行分析，将符合灰色事件条件的告警自动置为“忽略”状态；也会对被自动置为“忽略”状态的历史告警进行分析，在本次的分析中不符合灰色事件条件的历史告警，其状态将自动还原为“未处理”。

·     处置：创建处置工单，并将安全告警添加到工单中，通过邮件或短信通知相关责任人处理安全告警，并反馈处理结果。处理完成后，管理员需手动修改安全告警处理状态。支持批量处置和单个处置。有关处置工单的详细介绍请参见处置工单。

·     编排：向某个安全告警手动下发剧本，平台将会根据剧本动作调用相关的设备对安全告警进行响应闭环。有关剧本的详细介绍请参见剧本管理。

·     白名单：当确认某类安全告警为误报时，可将该告警添加为白名单，减少误报。有关白名单的详细介绍请参见白名单。

·     研判：管理员可以手动修改安全告警的可信程度。

操作步骤

1.     选择“威胁中心 > 安全告警”，进入安全告警页面。

2.     检索安全告警：支持按场景、统计周期等条件检索安全告警。其中，场景选择“今日新增”，页面将只展示今日发生的所有安全告警；选择“反复出现”则展示处理后再次发生的安全告警；选择“今日处理”则展示今日处理的安全告警。配置查询条件后，页面下方图表中将只展示符合查询条件的安全告警。

3.     查看告警分析：单击<展开告警分析>，可查看影响主机的告警类型Top 10、告警趋势图和告警名称统计Top10。其中，告警名称分布Top10、告警趋势图与告警处理状态联动展示，例如，处理状态选择“未处理”，则告警名称分布图将只展示未处理告警中发生次数Top10的安全告警，告警趋势图也将只展示未处理告警的发生趋势。

4.     查看安全告警详情：选择一个安全告警，单击操作列详情按钮，进入告警详情页面，查看告警的详细信息。安全告警详情的具体介绍请参见告警详情。

5.     处理安全告警：选择一个安全告警，单击操作列的处理按钮，修改告警处理状态；选择多个告警，单击<批量处理>批量修改安全告警处理状态。处理完成后，单击处理状态列按钮，可查看处理历史记录，方便管理员进行行为审计。

6.     将安全告警添加至白名单：选择一个安全告警，单击操作列白名单按钮，将告警添加到白名单。

7.     为安全告警下发剧本：选择一个安全告警，单击操作列编排按钮，向某个安全告警手动下发剧本。下发完成后，单击剧本执行状态列的取值，可查看剧本简要信息，方便管理员调整相关配置。

8.     将安全告警添加至处置工单：选择一个安全告警，单击操作列处置按钮，将告警添加到处置工单；选择多个告警，单击<批量处理>可将所选安全告警添加到一个处置工单进行跟踪处理。

9.     选择一个安全告警，单击操作列研判按钮，修改告警的确信度。

10.     导出安全告警列表：单击<导出>按钮可将安全告警列表导出为Excel表格文件，用户可单击Web页面右上角的<>按钮，进入下载列表页面，查看文件导出进度，完成导出后，可以单击<下载>按钮，将文件下载到本地。

注意事项

·     编排状态为“未执行”表示该告警未匹配任何案件，需要手动选择剧本并下发，“待执行”表示告警已匹配非自动执行剧本的案件，需要手动下发剧本，“已执行”表示告警已匹配自动执行剧本的案件，无需手动下发。

·     若执行剧本动作的目标设备被删除，该剧本动作将会下发失败。剧本动作下发失败后，可在编排详情页面重新下发。

·     执行剧本动作的设备必须已经添加为资产，且资产管理协议配置为SSH或SOAP，同时配置时，优先使用SOAP。

·     由灰色事件分析引擎处理的告警，处理人将标记为灰色事件分析引擎。

告警详情

该功能用于展示网络中已发生的安全告警详细信息。

主要功能

基本信息

展示安全告警的最近发生时间、首次发生时间、攻击阶段等基础的信息以及网元信息和载荷分析。

○          网元信息：展示安全告警的源/目的的IP地址、端口和地理信息等。

○          载荷分析：网络取证：通过分析安全设备上报的IPS抓包，展示资产发生的安全告警过程，有利于管理员对该安全告警进行分析取证。

全包取证

展示该安全告警全包取证信息，并可以对信息进行相应的解析查看，并可进行流追踪、时序图、下载等操作。

原始日志

展示该安全告警每一次发生的时间、安全告警描述信息、安全告警源和目的IP、原始日志信息等，以便管理更好的了解安全告警发生时间线，分析网络安全状态。

资产分析

对安全告警的原目的资产进行多维度分析。

攻击行为分析

对攻击行为进行多维度分析，对攻击组织下一步攻击行为做出预测。

参考案例

展示该安全告警的参考处理方案，单击指定案例名称右侧操作列下的<案例详情>按钮，可查看具体的参考案例内容。

安全事件

安全事件是基于安全告警将告警页面的数据按照事件名称进行聚合，更方便管理员从一定高度上去分析现在系统中存在的安全问题，页面顶部配有“攻击阶段ATT&CK分布图”。管理员可以通过分析图查看整个系统中各个阶段安全事件的数量，以及各阶段攻击者多使用的攻击技术、战术等。
管理员可通过页面下方的安全事件列表，查看事件的名称、影响资产数等基本信息，也对指定的事件执行如下操作：

·     详情：可进入事件详情页面，查看安全事件的详情。包括告警列表、影响资产、处置建议和攻击行为分析。

○          告警列表：可以展示具体聚合的安全告警数据，方便管理员浏览处理等进行后续操作，可以针对告警进行批量处理、处置，也可针对单条进行添加白名单、编排等操作等。

○          影响资产：将所有与该事件相关联的资产进行展示，可查看资产画像详情。

○          处置建议：系统默认配置处置建议，用户可以根据自己的实际经验修改相应事件的处置建议。

○          攻击行为分析：针对攻击行为，预测攻击组织及其对其下一步攻击进行预测。

·     处理：修改安全事件处理状态，支持批量处理和单个处理。

·     处置：创建处置工单，并将安全事件添加到工单中，通过邮件或短信通知相关责任人处理安全事件，并反馈处理结果。处理完成后，管理员需手动修改安全事件处理状态。支持批量处置和单个处置。有关处置工单的详细介绍请参见处置工单。

操作步骤

1.     选择“威胁中心 > 安全事件”，进入安全事件页面。

2.     检索安全事件：支持按事件名称、威胁等级、统计周期等条件检索安全事件。配置查询条件后，页面下方列表中将只展示符合查询条件的安全事件。

3.     选择一个安全事件，单击操作列详情按钮，进入事件详情页面，查看事件的详细信息。

4.     选择一个安全事件，单击操作列的处理按钮，修改事件处理状态；选择多个事件，单击<批量处理>批量修改安全事件处理状态。处理完成后，单击处理状态列按钮，可查看处理历史记录，方便管理员进行行为审计。

5.     选择一个安全事件，单击操作列处置按钮，将事件添加到处置工单；选择多个事件，单击<批量处理>可将所选安全事件添加到一个处置工单进行跟踪处理。

攻击者视角

该功能用于统计和展示基于攻击者角度分析的安全告警。当网络中频繁发生安全告警时，安全告警列表中会出现大量信息，不利于运维人员进行安全分析。为了方便运维人员分析，平台支持配置多种查询条件，并根据查询结果在页面上方以图表形式展示安全告警的统计信息，并在页面下方以表格形式详细展示安全告警的主要信息。
管理员可对安全告警进行处理、处置和添加白名单等操作：

·     处理：修改安全告警处理状态，支持批量处理和单个处理。安全告警处理状态缺省为“未处理”，若安全告警无需处理，管理员需手动修改其状态为“忽略”，若安全告警已线下处理过，则需手动修改其状态为“已处理”。平台分析资产、用户及网络安全状态时，不再将“已处理”和“忽略”的安全告警纳入统计数据。
除了支持手动修改安全告警处理状态外，平台内置了灰色事件分析引擎，内含泊松分析模型、C段分析模型、基于用户处置知识的判定模型三种分析模型。可对最近30天"未处理"状态的安全告警进行分析，将符合灰色事件条件的安全告警自动置为“忽略”状态；也会对被自动置为“忽略”状态的历史安全告警进行分析，在本次的分析中不符合灰色事件条件的历史安全告警，其状态将自动还原为“未处理”。

·     处置：创建处置工单，并将安全告警添加到工单中，通过邮件或短信通知相关责任人处理安全告警，并反馈处理结果。处理完成后，管理员需手动修改安全告警处理状态。支持批量处置和单个处置。有关处置工单的详细介绍请参见处置工单 。

·     白名单：当确认某类安全告警为误报时，可将该安全告警添加为白名单，减少误报。有关白名单的详细介绍请参见白名单 。

·     一键阻断：针对攻击者实施一键阻断，直接将命令下发目标设备。实现安全告警快速反应，保证业务安全。

操作步骤

1.     选择“威胁中心 > 攻击者视角”，进入攻击者视角页面。

2.     查看不同周期攻击者的统计信息：配置统计周期，查看攻击者总数、外部攻击者等统计信息，以及攻击者地理位置分布Top 10、攻击者手段Top 10的排行数据。

3.     检索安全告警：配置攻击者IP、地理位置等统计条件，在页面下方的安全告警列表中查看符合条件的安全告警信息。

4.     查看攻击者详细信息：选择一个安全告警，单击操作列画像图标进入攻击者画像页面，查看详细信息。攻击者画像的详细介绍请参见攻击者画像

5.     处理安全告警：选择一个安全告警，单击操作列的处理图标，修改安全告警处理状态；选择多个安全告警，单击<批量处理>批量修改安全告警处理状态。

6.     将安全告警添加至处置工单：选择一个安全告警，单击操作列处置图标，将安全告警添加到处置工单。

7.     将安全告警添加到白名单：选择一个安全告警，单击操作列白名单图标，将安全告警添加到白名单。

8.     一键阻断：选择一个安全告警，单击操作列一键阻断，选择执行阻断动作的设备类型、执行设备并添加阻断原因，完成配置后，单击立即执行按钮，平台会立即向执行设备下发黑名单命令。

9.     导出攻击者列表：单击<导出>按钮可将安全告警列表导出为Excel表格文件，用户可单击Web页面右上角的<>按钮，进入下载列表页面，查看文件导出进度，完成导出后，可以单击<下载>按钮，将文件下载到本地。

攻击者画像

该功能用于展示网络中攻击者的详细信息。

主要功能

基本信息

展示攻击事件的基本信息和威胁能力分析。

○          基本信息：包括IP地址、安全事件数等信息以及攻击区域Top包括IP地址、安全事件数等信息以及攻击区域Top 10、攻击端口Top 10的统计数据。

○          威胁能力分析：展示攻击者在攻击过程中使用的攻击技术的相关信息。以便管理员更好的了解攻击者的攻击手法，及时调整相关防护策略。

攻击内网目标

展示攻击目标的相关信息，包括目标IP、端口、区域等。便于管理员依据上述信息调整相应的防护策略。

安全告警

展示攻击者触发的安全告警。

近期活动日历

展示攻击者最近一段事件内的活跃情况，便于管理员依此进行分析，并制定相应的防护策略。

风险资产视角

该功能基于风险资产视角，对全网中存在风险的资产进行统计，展示风险资产的名称、IP地址、所属区域、安全状态、威胁度、告警标签等信息，支持将风险资产列表以Excel文件形式导出到本地。

其中，威胁度是由系统根据全网安全告警自动计算所得的分数，可辅助用户评估风险资产的安全状态。威胁度分数越高，风险资产失陷概率越大。

威胁度分数与风险资产安全状态的对应关系如下：

·     80~99.9：已失陷

·     60~79.9：高危

·     1~59.9：低危

查看资产画像

该功能用于查看风险资产的详细信息，方便管理员了解资产的IP地址、安全状态、资产类型等基础信息以及基于安全事件的风险缝隙、脆弱性分析和安全病例等。

操作步骤

1.     选择“威胁中心 > 风险资产视角”，进入风险资产视角页面。

2.     单击某个资产对应操作列的< 画像> 按钮，进入资产画像页面查看资产相关信息。

主要功能

·     攻击阶段
展示安全事件所处的攻击阶段的分布情况。

·     取证溯源
通过安全事件时间顺序展示资产攻击或被攻击的历史情况，并使用不同颜色的空心圆标识事件的确信度，以便用户对资产发生的安全事件进行溯源取证。

·     告警趋势图
展示安全事件的发生趋势，且仅统计处理中和未处理事件。

·     基本信息
展示资产的基本信息（资产类型主机名称、IP地址等）和资产上运行的应用程序信息。

·     风险分析
展示资产发生的安全事件以及风险概况，便于管理员快速了解资产安全状况。

○          安全告警：展示资产的所有安全告警，并支持对告警事件进行处理、白名单、编排和处置等操作。详细操作步骤请参见安全告警

○          安全事件：展示资产的所有安全事件，便于管理员快速了解安全事件的威胁类型、攻击阶段等信息，以及时间的处理状态。单击操作列下< 详情>按钮，可进入事件详情页面，查看时间的处置建议和攻击行为分析。

○          攻击路径：系统将资产作为调查对象进行攻击关系分析，可视化展示其攻击链路和回溯链路。

○          专家解读：通过专家分析引擎检测资产是否失陷。对于已失陷资产，本页面将展示失陷依据，包括失陷标签、标签描述及判断失陷的安全事件。每个失陷标签（除“完成多个攻击阶段”标签外）的关系图中最多展示50个节点与该资产之间的攻击关系。其中，系统仅对30天内的安全事件数据进行统计。

○          攻击者：用于展示当资产作为被攻击者时，其攻击者的相关信息、当资产作为攻击者时，其攻击对象的相关信息，方便用户对资产的攻击信息进行分析。

○          ATT&CK：系统基于 ATT＆CK模型，展示了攻击者的攻击生命周期以及各个攻击阶段使用的技术，用户可以通过单击指定的技术查看其详细信息。同时，系统将安全事件与ATT&CK模型进行匹配，方便用户查看各攻击阶段中安全事件与技术的命中情况，通过单击指定的技术，可查看安全事件详情并对安全事件进行处置、处理、白名单、编排等相应的操作。详细操作步骤请参见安全告警

○          参考案例：资产涉及的所有安全事件相关的参考案例，单击详情按钮，可以查看详细的案例信息。

·     脆弱性分析
展示资产存在的脆弱性风险的统计数据，包括漏洞风险、配置风险和弱口令，以及各风险的详细信息。

·     安全病例
展示资产的安全事件的处理记录和工单记录。

导出风险资产

该功能用于将风险资产列表导出为Excel表格文件并下载至本地，最多只能导出时间最近的前两万条数据。

操作步骤

1.     选择“威胁中心 > 风险资产视角”进入风险资产视角页面。

2.     单击<导出>按钮，弹出导出提示窗口。

3.     单击<确定>按钮，关闭提示窗口。

4.     单击界面右上方的下载图标，弹出下载列表窗口。

5.     单击最新文件对应的下载按钮，即可将风险资产表格文件下载至本地。

脆弱性视角

该功能用于展示网络中存在漏洞、弱口令、配置风险等风险的资产信息及其风险详情。
平台从漏洞维度（包括漏洞、弱口令、配置风险）综合分析每种漏洞对单个资产和对整网的影响，并计算出处理优先级得分，从而提醒管理员优先处理影响更大的漏洞。若漏洞只影响了一个资产则按资产维度计算处理优先级得分，否则按整网维度计算处理优先级得分：

·     整网维度处理优先级：是指一个漏洞影响网络中多个资产，平台将根据这些资产的资产价值、资产安全度、资产开放端口、漏洞等级，以及该漏洞是否被利用成功导致资产受攻击等因素进行综合计算，得出处理优先级得分，分值越小，处理优先级越高。以便管理员评估漏洞对整个网络的影响。

·     资产维度处理优先级：是指一个资产上存在多个漏洞，平台将根据这些漏洞的漏洞等级、资产开放端口，以及漏洞是否被利用成功导致资产受攻击等因素进行综合计算，得出处理优先级得分，分值越大，处理优先级越高。以便管理员评估漏洞对资产的影响。

主要功能

·     漏洞风险
展示资产存在的漏洞风险的具体信息，并支持对这些风险进行批量处理。

·     配置风险
展示资产存在的配置风险的具体信息，并支持对这些风险进行批量处理。

·     弱口令
展示资产存在的弱口令信息，并支持对这些风险进行批量处理。缺省情况下，页面以密文方式展示扫描出来的弱口令账号和密码，开启“显示账号密码”功能并验证当前管理员登录密码后，可查看弱口令账号和密码明文。

·     设置整网维度处理优先级阈值

单击页面右上角处理优先级配置按钮，设置整网维度处理优先级阈值。优先级得分小于等于高处理优先级阈值的漏洞将被划分到高处理优先级漏洞，得分大于低处理优先级阈值的漏洞将被划分到低处理优先级漏洞，得分在高、低处理优先级阈值之间的则为中处理优先级漏洞。

脆弱性风险总览

该功能用于展示资产存在的脆弱性风险统计信息，有利于管理员直观地掌控系统脆弱性状态，提前对整网安全趋势做预断。

脆弱性风险

该功能用于展示网络中存在漏洞风险、配置风险和弱口令的资产相关信息及其详细信息，并支持对这些风险进行处理、处置。

脆弱性列表

该功能用于展示网络中存在漏洞风险、配置风险和弱口令的资产相关信息，并支持对这些风险进行处理、处置、验证和编排。