文档简介:
威胁检测
威胁检测无需特殊配置,接入网络后即开始工作。
威胁概览
在威胁检测→威胁概览页面,主要统计分析当前用户环境所面临的威胁情况。具体包括异常行为的总量及高危异常行为类型TOP3。统计最近24h的异常行为类型及数量。根据最近24h的异常行为数量,统计受影响主机TOP5,表格展示资产IP、资产归属、异常行为数。根据威胁数量统计最近24h的威胁方排行,国内、国际分别统计TOP5,表格展示威胁方IP、所在地、异常行为数。威胁方归属地统计异常行为数最多的威胁方所在地,国内、国际分别统计TOP10。
威胁列表
在威胁检测→威胁列表页面,列表详细记录了威胁事件发生的时间、源IP、目的IP、协议、流向、威胁类型、威胁明细、严重级别、攻击阶段、来源、威胁方归属地、探针IP。威胁事件支持按照时间、按照事件的属性进行筛选。威胁事件根据威胁类型和威胁明细统计,影响最多的前十类。列表右侧操作项,威胁事件支持下载数据包取证。
列表右侧操作项,威胁事件支持针对事件和规则的忽略。忽略事件,仅忽略当前一条事件日志。忽略规则,包括忽略此条检测规则和此资产IP相关的事件。
忽略的规则,通过系统管理→系统设置→忽略规则管理页面管理,将已经忽略的规则删除后,规则继续生效。
警告配置
威胁检测→警告配置页面的攻击源警告,用于对攻击源警告。当系统检测到远端IP地址存在恶意入侵或者探测行为时,可以对相应的IP进行告警,对其推送告警界面,以做警示,并记录告警事件时间和攻击源IP地址。
威胁检测→警告配置页面的恶意网站警告,用于对系统用户警告。当系统用户访问恶意网站时,对自己的用户推送提示页面,可以使用默认的提示内容,也可以自定义提示页面,自定义页面仅支持上传html的文件包。
恶意网站的数据,来源于国家能力中心。也支持用户自定添加,用户将自己整理的恶意网站的名称、域名添加到系统中,系统支持对自定义添加的恶意网站的编辑、删除、停用、启用。
恶意网站检测的功能开关,在系统管理→系统设置→功能配置菜单页面,默认关闭。
