安全事件
事件
流影【事件】页面是用来查看安全事件列表的,支持安全事件的查询、过滤、统计、处理等操作。可以通过导航进入此页面,也可以通过设备操作菜单中的“事件列表”进入到事件页面。
事件查询
在页面右上方的控制栏中可以选择时间范围以及采集节点,点击刷新按钮后,就会加载对应的事件数据。对于所查询到的数据还可以进行下一步的筛选。
筛选表单支持以下操作:
- 文本输入类:输入条件后敲击“Enter”键,或者点击查询按钮。
- 标签选择类:
- 点击某一标签后选中,再次点击取消选中。
- 选中标签后,会在统计图表下方出现选择条件的汇总信息。可以通过点击“叉号”取消某个过滤条件。
- 点击某一条件的“全部”标签后,则该条件的其他标签全部取消选择。
- 选择类操作是即时生效的。
- 图表选择:可以通过点击柱状图或环形图本身进行快速选择。
- 筛选表单的展开 / 收起。
- 点击“展开”展开筛选表单。
- 点击“收起”收起筛选表单。
- 重置筛选:点击筛选表单下方的“重置”,或者筛选汇总的“重置”都可以重置表单。
- 设备查询切换
- 点击“精准查询”,切换至精准查询。
- 点击“模糊查询”,切换至模糊查询。
筛选条件支持以下条件:
| 条件 | 描述 | 类型 |
|---|---|---|
| 事件ID | 系统分配的事件唯一标识。 | 输入 |
| 设备查询 | 模糊查询:可以过滤某设备的全部事件。 | 输入 |
| 精准查询:可以指定受害设备、攻击设备进行过滤。 | 输入 | |
| 追踪目标 | 直接从列表中选取某个追踪目标,查看相关安全事件。 | 输入 |
| 事件级别 | 包括:全部、极高、高、中、低、极低。 | 选择 |
| 处理状态 | 包括:全部、极高、高、中、低、极低。 | 选择 |
| 活跃状态 | 包括:全部、活跃、不活跃。 | 选择 |
| 事件类型 | 包括:全部、现有安全事件数据的事件类型。 | 选择 |
| 详细类型 | 包括:全部、现有安全事件数据的详细类型。 | 选择 |
| 协议 | 包括:全部、TCP、UDP、ICMP。 | 选择 |
| 资产组 | 包括:全部、现有安全事件数据中设备所属的资产组。 | 选择 |
事件统计
事件统计从威胁来源排行、受害目标排行、事件类型分布三个维度对安全事件数据进行统计。
统计模块支持以下操作:
- 筛选设备:点击柱状图的柱体,系统仅展示该设备的事件数据。
- 筛选类型:点击环形图的环体,系统仅展示该类型的事件数据。
- 事件类型统计:将鼠标移动至对应的柱体上,界面会出现如下的提示框。
- 设备操作:点击对应的设备名称。出现设备操作菜单。
事件处置
事件处置是通过处置操作改变事件的处置状态,从而实现对安全事件的运维管理。事件共有未处理、已确认、已处理三种状态,对应确认、处理、激活三种操作。
- 快速处理:点击事件表格中某条安全数据的处理状态单元格(倒数第二列),弹出操作弹窗。选择对应操作。
- 批量处理:在事件表格中选中多条安全事件。投个上面会出现批量处理按钮。
事件研判
事件列表仅提供安全事件的结果信息,如果想要查看某条事件更多详细信息,确定事件性质。可以通过点击该事件最右侧的ID列,跳转至事件研判页面。
大纲