追踪功能#

用户可以使用追踪功能对 IP、端口、会话关系等目标进行持续关注、标签备注、分组管理以及自定义告警。追踪页面针对于追踪目标提供查询筛选、追踪列表展示、安全事件关联、资产信息关联等功能。

查询筛选#

通过右上角的控制栏可以选择端口数据的时间范围和采集环境。页面上部提供丰富的过滤条件。其中包括：设备查询、追踪分组、事件命中、告警配置、是否产生流量、协议、方向等。设备查询支持模糊查询和精准查询两种方式。

追踪列表展示#

追踪列表展示符合查询筛选条件的追踪目标。除了追踪条目本身信息外，还展示相关安全事件、告警配置以及流量信息，并提供数据导出、新增追踪、编辑追踪、删除追踪以及追踪安全事件配置的快捷操作。

数据导出#

1）选择将要导出的数据，或者不选择数据，点击“导出数据”。

2）在弹窗中选择文件类型与字段内容即可。

3）点击“导出”。

快捷配置#

单条添加#

1. 点击“新增追踪条目”，触发新增弹窗。
2. 输入信息后，点击“下一步”。
3. 二次确认后，点击“提交”。

批量新增#

1. 点击“批量新增”，触发批量新增弹窗。
2. 点击“xlsx模板或csv模板”下载对应格式模板。
3. 编辑模板后，点击弹窗中间区域选择文件，或拖拽文件至中心区域。系统开始自动检测数据的合法性。
4. 点击“导入”。

编辑追踪#

1. 点击编辑目标右侧操作列的“更多”。
2. 点击“修改”，出现编辑弹窗。
3. 修改内容后，点击“下一步”。
4. 二次确认后，点击“提交”。

删除追踪#

1. 点击删除目标右侧操作列的“更多”按钮。
2. 点击“删除”，触发删除确认框。
3. 点击“确定”。

配置安全告警#

1. 点击配置目标右侧告警配置列的“设置”按钮，出现选择菜单。注意，当内容为“-”时不可操作。
2. 在选择菜单中选择新增或者编辑已有的配合，出现配置弹窗。
3. 配置结束后。点击“提交”。

扩展信息#

点击追踪条目行列，追踪表格会展开显示追踪目标的扩展信息。其中包含起本信息、安全事件信息以及活跃资产信息。

设备基本信息#

将追踪目标拆为四部分，可以查看对应的地理位置、运营商、经纬度、系统标签、端口描述等信息。

安全事件信息#

系统会自动将安全事件与相关的追踪目标关联一起，并提供分类展示。在事件页面也可以通过追踪条目筛选找到对应安全事件。点击“查看事件列表”，可跳转至事件页面。

活跃资产信息#

可以查看追踪条目中，追踪目标端的活跃资产信息，包括IP、端口、网站以及URL。还可以查看端口上检测到的服务、中间件、操作系统、设备/应用系统等信息。