- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
04-事件中心
本章节下载: 04-事件中心 (471.83 KB)
事件中心
本章节主要介绍以下功能:
· 事件明细
· 事件概览
· 关联规则
该功能用于展示网络中已发生的安全事件详细信息,包括该事件原始日志、事件命中的关联规则详情。
1. 选择“事件中心 > 事件明细”进入关联事件明细页面。
图-1 关联事件明细页面
2. 查询事件明细:支持按源/目的IP、事件等级等条件检索事件信息。
3. 导出关联事件:按条件查询关联件事件后,点击<导出>按钮即,可将满足查询条件的关联事件导出到表格中,并下载到本地;若无查询条件则导出所有事件。最多只能导出10000条事件。
4. 查看事件命中的关联规则:单击指定关联事件“规则名称”列下的取值,可查看事件命中的关联规则的详细信息。
5. 查看事件原始日志:单击指定关联事件“原始日志数”列下的数字,可查看匹配关联规则并输出该事件的所有原始日志的详细信息。
· 发现时间:系统监测到该关联事件的时间。
· 事件等级:关联事件的严重级别。
· 事件名称:关联事件名称,由关联规则定义。
· 原始事件名称:原始日志中记录的事件名称。
· 源IP:攻击源IP地址。
· 源端口:攻击源端口
· 目的IP:攻击目的IP地址。
· 目的端口:攻击目的端口。
· 规则名称:输出该关联事件的关联规则名称。点击可查看关联规则详情。
· 事件描述:关联事件描述信息,由关联规则定义。
· 原始日志数:匹配关联规则并输出关联事件原始日志数量。点击可查看原始日志信息。
该页面用于从多个维度展示统计周期内的关联事件汇总信息。系统默认展示按事件类型分布、事件严重级别分布、发生事件设备类型分布、攻击目的端口分布、事件源IP分布、事件目的IP分布进行统计的统计图表。用户可自定义需要统计的数据类型及呈现方式。
1. 选择“事件中心 > 事件概览”进入事件概览页面。
图-2 事件概览页面
2. 选择统计周期,默认展示最近24小时的安全事件信息。
3. 自定义需要展示的数据及呈现方式:点击某个图表右上角的<自定义>按钮,在弹出的自定义图表窗口,配置以下参数后单击<确认>,页面将展示自定义的图表数据。
图-3 自定义图表页面
○ 图表名称:设置展示在每个图表左上角的名称。
○ 统计属性:选择需要统计的数据类型。
○ 图表类型:统计数据的呈现方式,包括折线图、饼图、柱状图。
仅匹配日志类型为“安全日志”的关联规则 (如关联规则包含多条子规则,则最后一条子规则匹配的日志类型是“安全日志 ”) 命中后产生的关联事件才包含"事件类型"字段。
· 事件类型分布
根据发生的关联事件类型进行统计,并通过饼状图展示发生次数最多的前十个安全事件总数和百分比。
· 事件等级分布
根据发生的安全事件等级进行统计,并通过饼状图展示每种级别事件总数和百分比,单击某个级别对应的区块可进入安全事件明细页面,查看该所有该级别的安全事件信息。
· 发生事件设备类型分布
根据上报安全事件设备类型进行统计,并通过饼状图展示上报安全事件次数最多的前十种设备类型及其上报的安全事件的总数和百分比。
· 攻击目的端口分布
根据安全事件所攻击的目的端口进行统计,并通过饼状图展示被攻击次数最多的前十个端口及其被攻击总数和百分比。
· 事件源IP分布
根据发生安全事件的源IP地址统计,并通过柱状图展示发生安全事件次数最多的前十个源IP地址及每个IP地址所发生关联事件的数目。单击某个源IP地址对应的区块可进入关联事件明细页面,查看该源IP地址发生的所有关联事件信息。
· 事件目的IP分布
根据发生关联事件的目的IP地址进行统计,并通过柱状图展示发生关联事件次数最多的前十个目的IP地址及每个IP地址所发生关联事件的数目。单击某个目的IP地址对应的区块可进入关联事件明细页面,查看该目的IP地址发生的所有关联事件信息。
关联规则用于对一段时间内采集器上报的日志,按照一定的规则进行关联分析,匹配“关联规则”的日志将会聚合输出一个关联事件,并在事件明细页面进行展示。以便管理员实时监控整网安全情况,并根据事件信息进行有针对性的排查并采取相应的措施,确保网络安全。系统支持以下两种类型的关联规则:
· 预定义关联规则:系统内置的关联规则算法,可以在海量日志和流量中关联分析出异常信息。预定义关联规则不能修改或删除,只能启用或停用。
· 自定义关联规则:用户可根据实际需求自定义关联规则并对其进行管理,包括新增、删除、启用、停用关联规则。
· 通过特定字段前后加占位符%方式表示安全事件的事件名称和事件描述时,在关联事件页面展示时特定字段将被替换为该字段的实际取值。特定字段选择配置攻击类型、攻击名称、攻击目的、攻击源、源地址、目的地址、主机名称、目的用户、源用户。
· 建议不要配置过长的时间窗。否则会影响匹配性能。
· 关联规则停用后,不会影响停用前匹配的数据展示。
1. 选择“事件中心 > 关联规则”进入关联规则页面。
2. 单击<新增>按钮进入新增关联规则页面,配置相关参数后单击<确认>按钮完成操作。
图-4 新增关联规则
3. 对于已配置的规则可通过启用和停用按钮改变规则的状态。
· 规则及事件
○ 规则名称:规则的唯一标识。
○ 规则描述:规则的描述,通过合理编写描述信息,便于管理员快速理解和识别该规则。
○ 时间窗:规则匹配事件的时间段,只有在时间窗内到达系统的事件才会进行匹配。时间窗单位可选秒、分钟、小时,必须是正整数,无论选择任何单位,时间窗长度都不能超过小于1分钟且不超过24小时。
○ 事件名称:匹配关联规则的关联事件的名称,可文字描述或通过在特定字段前后加占位符%来进行变量替换,例如:%攻击类型%攻击。
○ 事件描述:匹配关联规则的关联事件的详细描述,可直接描述或通过在特定字段前后加占位符%来进行变量替换,例如:发现%资产名%遭受%攻击类型%攻击,攻击名称%攻击名称%。
○ 事件等级:匹配关联规则的关联事件的严重等级,可选择低危、中危、高危、严重。
· 子规则配置
用于配置匹配原始日志的子规则。分为以下两种类型
○ 统计关联:只能配置1条子规则;时间窗内上报的日志满足统计关联规则的匹配条件和统计次数即可生成事件。
○ 时序关联:至少新增2条子规则,可配置最多5条子规则;时间窗内上报的日志根据时间顺序依次满足时序关联各条子规则的匹配条件和统计次数(子规则的匹配顺序根据子规则的添加顺序依次匹配),即可生成事件。点击<新增>按钮进入“子规则配置”页面,配置相关参数后单击<确认>按钮完操作;点击<删除>按钮可删除已配置的子规则。
§ 日志类型:该规则只对此类型的日志进行匹配。
§ 统计次数:命中该子规则的日志次数。
§ 匹配条件
设置匹配条件间的逻辑关系:用于设置多个条件之间的逻辑关系,可选择与、或和自定义。在使用自定义的逻辑关系时,可使用OR和AND来组合成逻辑表达式,例如,1 and (2 or 3) and 4。
设置匹配条件:指定匹配条件的关键字段和实际取值之间连接关系,包括:“=”、“!=”、“>”、“<”、“>=”、“<=”。
添加匹配条件:点击<新增匹配条件>按钮可以增加一个匹配条件, 点击
按钮可以删除一个匹配条件。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
