登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecCenter CSAP-NDR安全威胁发现与运营管理平台 Web配置指导(E1103)-5W101

目录

03-分析中心

本章节下载 03-分析中心  (1.02 MB)

03-分析中心

分析中心

通过对网络流量进行深入的分析,能够帮助用户及时发现和识别网络中的安全威胁,进而采取相应的措施进行应对和防范。

本章包含如下内容:

·     挖矿风险分析

·     勒索感染分析

·     C&C外联分析

·     恶意文件分析

·     威胁情报分析

·     异常流量分析

·     加密流量分析

挖矿风险分析

该功能用于分析和展示网络中发生的挖矿事件,仅统计处理中和未处理事件。

操作步骤

1.     选择分析中心 > 挖矿风险分析进入挖矿风险分析页面。

 

2.     选择统计周期,默认展示最近30天的统计数据。

主要功能

·     挖矿阶段分布图
展示指定统计周期内,各个挖矿阶段的主机个数。单击统计值,将展示相关的主机列表。

·     挖矿矿池影响主机分布图
展示指定统计周期内,主机访问的矿池分布情况。单击统计值,将展示相关的主机列表。

·     挖矿币种分布图
展示指定统计周期内,主机挖矿的币种分布情况。单击统计值,将展示相关的主机列表。

·     挖矿主机列表
展示指定统计周期内,受挖矿病毒影响的主机信息。单击操作列的详情按钮查看主机发生的挖矿事件明细,单击<导出>按钮可将分析数据导出到excel表格,下载到本地进行预览。

勒索感染分析

该功能用于分析和展示网络中发生的勒索病毒感染事件,仅统计处理中和未处理事件。

操作步骤

1.     选择分析中心 > 勒索感染分析进入勒索感染分析页面。

 

2.     选择统计周期,默认展示最近30天的统计数据。

主要功能

·     访问关系图
展示统计周期内,网络中勒索类事件所涉及的内网主机与外网主机、恶意域名之间的访问关系。当访问关系较多或只需查看某个主机的访问关系时,在目的查询框中输入查询条件,然后单击<查询>,页面将只展示该主机的访问关系,便于查看。

注意事项

·     勒索感染主机访问关系图中,最多只展示10个源节点的访问关系,当源节点访问的目的节点超过100个时,超过的部分访问关系不展示。

C&C外联分析

C&C外联事件是指内网主机与外网C&C服务器建立连接关系后,外网C&C服务器可以控制内网主机进行攻击活动,如窃取机密文件,操控内网主机攻击其他资产等。C&C外联分析功能从多个维度统计并展示用户网络中发生的C&C外联事件,以便管理员快速定位异常主机,排除风险。

操作步骤

1.     选择分析中心 > C&C外联分析进入C&C外联分析页面。

 

2.     选择统计周期,默认展示最近30天的统计数据。

主要功能

·     C&C外联告警风险危害及处置建议
展示C&C外联告警对网络安全产生的威胁及建议处理方案。

·     C&C外联安全告警发生次数趋势图
通过折线图展示统计周期内,C&C外联安全告警发生次数趋势。

·     C&C主机
展示统计周期内,内网主机访问过的C&C主机及其所属地区。支持按C&C主机IP地址和域名称检索C&C外联事件分析数据,同时提供导出功能,用户可将分析数据导出到excel表格,下载到本地进行预览。
点击内部影响主机数列的数字将展示受影响的内网主机信息;点击操作列详情按钮可进入该C&C主机的安全告警明细页面,查看该统计周期内与该C&C主机相关的安全告警详情。

·     源主机
展示统计周期内,内网资产和用户访问过的C&C主机及连接C&C主机次数。支持按资产名称和用户名称检索C&C外联事件分析数据,同时提供导出功能,用户可将分析数据导出到excel表格,下载到本地进行预览。
点击C&C主机列的数字将展示该主机连接过的C&C主机的IOC情报信息;点击操作列详情按钮可进入该主机的安全告警明细页面,查看该统计周期内与该主机相关的安全告警详情。

恶意文件分析

攻击者通过传播恶意文件来感染内网主机,从而控制内网主机来进行攻击活动,如盗取敏感数据。 恶意文件分析功能用于统计并展示网络中存在的恶意文件及被感染主机信息,以便管理员快速定位异常主机,排除风险。

操作步骤

1.     选择分析中心 > 恶意文件分析进入恶意文件分析页面。

 

2.     选择统计周期,默认展示最近30天的统计数据。

主要功能

·     恶意文件风险危害及处置建议
展示恶意文件攻击事件对网络安全产生的威胁及建议处理方案。

·     感染主机详情
通过列表展示统计周期内,感染恶意文件的主机信息。支持按资产名称和用户名称检索感染主机,同时提供导出功能,用户可将分析数据导出到excel表格,下载到本地进行预览。
点击恶意文件数列的数字将展示恶意文件信息;点击感染内网主机数列的数字将展示被感染的内网主机IP 点击操作列详情按钮可进入该主机的安全事件明细页面,查看该统计周期内与该主机相关的安全事件详情。

·     恶意文件 
通过列表展示统计周期内,恶意文件的详细信息,包括文件名称、MD5值、感染主机数等。单击感染主机数列下的统计值,可以查看感染主机的简要信息,包括主机IP地址和主机名等。

威胁情报分析

该功能用于分析和展示威胁情报命中情况。

操作步骤

1.     选择分析中心 > 威胁情报分析进入威胁情报分析页面。

 

2.     选择统计周期,默认展示最近30天的统计数据。

主要功能

·     威胁情报命中总览
展示指定统计周期内,IP情报、域名情报、URL情报的命中次数。

·     威胁类型Top10
展示指定统计周期内,IP情报、域名情报、URL情报中命中次数Top10的情报及其命中次数,选择不同页签可查看对应情报类型中命中次数Top10的情报。

·     活跃威胁情报Top20
从确信度、影响资产数、影响用户数、命中次数等方面对情报进行综合分析,并展示指定统计周期内,排名前20的情报。同时,支持将情报加入白名单,加入白名单后,情报不再生效,原来匹配成功的数据(如安全告警、风险资产等)也不再展示。

·     威胁情报命中
通过情报IOC查询情报的命中情况。

异常流量分析

该功能用于分析并展示网络中发生的异常流量事件,将分析结果通过多种方式直观展示,便于用户快速定位网络中的异常流量,排除风险。

操作步骤

1.     选择“分析中心 > 异常流量分析”进入异常网流量分析页面。

 

2.     单击统计周期下拉框可选择查看指定时间段内的统计数据,默认展示最近24小时的统计数据。

主要功能

·     异常流量类型分布
展示统计周期内,网络中发生次数最多的前5类异常流量事件的发生情况。

·     异常流量威胁等级分布
展示统计周期内,网络中各等级的异常流量事件的发生情况。

·     异常流量所涉及资源分布
展示统计周期内,受异常流量事件影响的资产情况。

·     异常流量事件排名
展示统计周期内,发生异常流量事件次数最多的前10个资产及发生次数,可选择查看资产的排名情况。

·     近期异常流量事件
展示最近发生的的异常流量事件信息,默认只展示10条事件。

·     异常流量事件发生趋势
展示统计周期内,资产发生异常流量事件的时间趋势。

加密流量分析

该功能用于分析并展示网络中加密流量的统计数据,包括流量分布数据(例如加密流量占比、会话占比、Top 10应用等)、异常情况下的统计信息以及恶意JA3相关告警事件的统计数据,帮助管理员了解加密流量态势,及时调整相应的防护策略。

主要功能

·     加密流量分析

·     协议异常分析

·     加密流量告警

加密流量分析

该功能用于分析并展示网络中加密流量的统计数据,便于管理员快速了解网络中加密流量态势,及时调整相应的防护策略。

操作步骤

1.     选择“分析中心 > 加密流量分析 > 加密流量分析”,进入加密流量分析页面。

 

2.     单击统计周期下拉框可选择查看指定时间段内的统计数据,默认展示最近24小时的统计数据,

3.     界面中将以分析图以及统计列表的形式展示相应的统计数据。其中,统计列表支持配置源IP、目的IP、加密套件等统计条件,查询相应的加密流量数据。

主要功能

·     加密流量占比
展示统计周期内,网络中加密流量占总流量的百分比。

·     加密会话占比
展示统计周期内,网络中各加密会话数量占总会话数量的百分比。

·     加密应用Top 10
展示统计周期内,加密应用中访问量Top 10的流量或会话统计数据。

·     客户端通联Top 10
展示统计周期内,客户端IP Top 10的流量或会话统计数据。

·     IP对通联Top 10
展示统计周期内,IPTop 10的流量或会话统计数据。

·     服务端通联Top 10
展示统计周期内,服务端IP Top 10的流量或会话统计数据。

·     协议版本
展示统计周期内,SSL&TLS加密会话中使用的协议版本统计排名情况。

·     加密套件Top 10
展示统计周期内,SSL&TLS加密会话中使用的加密套件Top 10排名情况。

·     私钥协商算法Top 10
展示统计周期内,SSL&TLS加密会话中使用的私钥协商算法Top10排名情况。

协议异常分析

该功能用于分析并展示网络中加密流量会话中存在异常情况时的统计信息。

操作步骤

1.     选择“分析中心 > 加密流量分析> 协议异常分析”,进入协议异常分析页面。

 

2.     单击统计周期下拉框可选择查看指定时间段内的统计数据,默认展示最近24小时的统计数据,

3.     界面中将以分析图以及统计列表的形式展示相应的统计数据。其中,统计列表支持配置源IP、目的IP、加密套件等统计条件,查询相应的协议异常分析数据。

主要功能

·     支持弱密码套件
展示统计周期内,在客户端支持的密码套件中发现弱密码套件的会话统计信息。

·     使用弱密码套件
展示统计周期内,在SSL握手过程中服务端选择使用的密码套件是弱密码套件的会话统计信息。

·     使用弱秘钥协商算法
展示统计周期内,在SSL握手过程中使用的秘钥协商算法是弱秘钥的会话统计信息。

·     证书校验失败
展示统计周期内,证书校验失败的会话统计信息。

·     使用自签名证书
展示统计周期内,使用自签名证书的会话统计信息。

·     使用过期证书
展示统计周期内,使用过期证书的会话统计信息。

加密流量告警

该功能用于分析并展示网络中通过使用恶意JA3进行攻击的告警事件统计信息,便于管理员对恶意JA3特征进行分析,及时调整相应的防护策略。

操作步骤

1.     选择“分析中心 > 加密流量分析> 加密流量告警”,进入加密流量告警页面。

 

2.     单击统计周期下拉框可选择查看指定时间段内的统计数据,默认展示最近24小时的统计数据。

3.     界面中将以分析图以及统计列表的形式展示相应的统计数据。其中,统计列表支持配置告警级别、攻击IP等统计条件,查询相应的加密流量告警信息。

主要功能

·     恶意JA3 TOP 10
展示统计周期内,命中恶意JA3黑名单最多的前10JA3特征统计信息。

·     恶意证书TOP10

展示统计周期内,命中恶意证书黑名单最多的前10名特征统计信息。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们