Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

进攻搜索

可以使用特定条件在结果列表中显示与搜索条件匹配的违规,从而搜索违规。

您可以创建新搜索或加载以前保存的一组搜索条件。

在“我的进攻”和“所有进攻”页面上搜索进攻

在“进攻”选项卡的“我的冒犯”和“所有冒犯”页上,可以搜索符合您条件的冒犯。

下表描述了可用于在 “我的进攻”“所有进攻 ”页面上搜索进攻数据的搜索选项。

有关类别的信息,请参阅《 瞻博网络安全分析管理指南》。

表 1:我的违规行为和所有违规行为页面搜索选项

选项

描述

此列表框允许您选择要在 “可用保存的搜索 ”列表中查看的进攻搜索组。

键入保存的搜索或从列表中选择

此字段允许您键入已保存搜索的名称或关键字以筛选 “可用已保存搜索 ”列表。

可用的已保存搜索

此列表显示所有可用的搜索,除非您使用“分组”或“键入保存的搜索”或“从 列表中选择 ”选项对列表应用筛选器。您可以在此列表中选择要显示或编辑的已保存搜索。

所有罪行

此选项允许您搜索所有违规行为,而不考虑时间范围。

最近

此选项允许您选择要筛选的预定义时间范围。选择此选项后,必须从列表框中选择时间范围选项。

特定间隔

此选项允许您为搜索配置自定义时间范围。选择此选项后,必须选择以下选项之一。

  • 开始日期介于选中此复选框可搜索在特定时间段内开始的冒犯。选中此复选框后,使用列表框选择要搜索的日期。

  • 上一个事件/上一个事件之间的流 选中此复选框可搜索上次检测到的事件在特定时间段内发生的攻击。选中此复选框后,使用列表框选择要搜索的日期。

搜索

搜索图标在搜索页面上的多个窗格中可用。配置完搜索并希望查看结果后,可以单击“搜索”。

进攻 ID

在此字段中,可以键入要搜索的攻击 ID。

描述

在此字段中,您可以键入要搜索的说明。

分配给用户

从此列表框中,可以选择要搜索的用户名。

方向

从此列表框中,您可以选择要搜索的进攻方向。选项包括:

  • 本地到本地

  • 本地到远程

  • 远程到本地

  • 远程到远程

  • 本地到远程或本地

  • 远程到远程或本地

源 IP

在此字段中,您可以键入要搜索的源 IP 地址或 CIDR 范围。

目标 IP

在此字段中,您可以键入要搜索的目标 IP 地址或 CIDR 范围。

大小

在此列表框中,可以指定量级,然后选择仅显示量级等于、小于或大于配置值的冒犯。范围为 0 - 10。

严重性

在此列表框中,可以指定严重性,然后选择仅显示严重性等于、小于或大于配置值的违规。范围为 0 - 10。

信誉

在此列表框中,可以指定可信度,然后选择仅显示可信度等于、小于或大于配置值的违规。范围为 0 - 10。

关联

在此列表框中,可以指定相关性,然后选择仅显示相关性等于、小于或大于配置值的违规。范围为 0 - 10。

包含用户名

在此字段中,您可以键入正则表达式 (regex) 语句来搜索包含特定用户名的违规行为。定义自定义正则表达式模式时,请遵循 Java 编程语言定义的正则表达式规则。有关更多信息,您可以参考 Web 上提供的正则表达式教程。

源网络

从此列表框中,可以选择要搜索的源网络。

目标网络

从此列表框中,可以选择要搜索的目标网络。

高级类别

从此列表框中,可以选择要搜索的高级类别。

低级别类别

从此列表框中,可以选择要搜索的低级别类别。

排除

此窗格中的选项允许您从搜索结果中排除违规行为。这些选项包括:

  • 主动进攻

  • 隐藏的罪行

  • 封闭式犯罪

  • 非活动攻击

  • 受保护的进攻

按用户关闭

仅当在“排除”窗格中清除“ 已关闭的违规行为 ”复选框时,才会显示此参数。

从此列表框中,您可以选择要搜索已关闭攻击的用户名,也可以选择 Any 显示所有已关闭攻击的用户名。

关闭原因

仅当在“排除”窗格中清除“ 已关闭的违规行为 ”复选框时,才会显示此参数。

从此列表框中,您可以选择要搜索已关闭违规的原因,或选择“ 任何” 以显示所有已关闭的违规。

事件

在此列表框中,可以指定事件计数,然后选择仅显示事件计数等于、小于或大于配置值的违规。

在此列表框中,可以指定流计数,然后选择仅显示流计数等于、小于或大于配置值的违规。

事件/流总数 事件总数

在此列表框中,您可以指定事件 和流 计数总数,然后选择仅显示事件 和流 总计数等于、小于或大于配置值的违规。

目的地

在此列表框中,可以指定目标 IP 地址计数,然后选择仅显示目标 IP 地址计数等于、小于或大于配置值的违规。

日志源组

从此列表框中,您可以选择包含要搜索的日志源的日志源组。 日志源 列表框显示分配给所选日志源组的所有日志源。

日志源

从此列表框中,可以选择要搜索的日志源。

规则组

从此列表框中,您可以选择包含要搜索的贡献规则的规则组。“ 规则 ”列表框显示分配给所选规则组的所有规则。

规则

从此列表框中,可以选择要搜索的参与规则。

进攻类型

从此列表框中,可以选择要搜索的攻击类型。有关 “攻击类型 ”列表框中的选项的详细信息,请参阅表 2。

下表描述了 “攻击类型 ”列表框中可用的选项:

表 2:进攻类型选项

进攻类型

描述

任何

此选项搜索所有攻击源。

源 IP

若要搜索具有特定源 IP 地址的攻击,可以选择此选项,然后键入要搜索的源 IP 地址。

目标 IP

若要搜索具有特定目标 IP 地址的攻击,可以选择此选项,然后键入要搜索的目标 IP 地址。

事件名称

要搜索具有特定事件名称的违规行为,您可以单击 浏览 图标以打开事件浏览器并选择要搜索的事件名称 (QID)。

您可以使用以下选项之一搜索特定 QID:

  • 若要按类别搜索 QID,请选中“ 按类别浏览 ”复选框,然后从列表框中选择高级或低级别类别。

  • 要按日志源类型搜索 QID,请选中按 日志源类型浏览 复选框,然后从 日志源类型 列表框中选择日志源类型。

  • 要按日志源类型搜索 QID,请选中按 日志源类型浏览 复选框,然后从 日志源类型 列表框中选择日志源类型。

  • 若要按名称搜索 QID,请选中“ QID 搜索 ”复选框,然后在“ QID/名称” 字段中键入名称。

用户

若要搜索具有特定用户名的冒犯,可以选择此选项,然后键入要搜索的用户名。

源 MAC 地址

若要搜索具有特定源 MAC 地址的攻击,可以选择此选项,然后键入要搜索的源 MAC 地址。

目标 MAC 地址

若要搜索具有特定目标 MAC 地址的违规,可以选择此选项,然后键入要搜索的目标 MAC 地址。

日志源

日志源组 列表框中,您可以选择包含要搜索的日志源的日志源组。 日志源 列表框显示分配给所选日志源组的所有日志源。

“日志源 ”列表框中,选择要搜索的日志源。

主机名

若要搜索具有特定主机名的冒例,可以选择此选项,然后键入要搜索的主机名。

源端口

若要搜索具有特定源端口的攻击,可以选择此选项,然后键入要搜索的源端口。

目标端口

若要搜索具有特定目标端口的违规,可以选择此选项,然后键入要搜索的目标端口。

源 IPv6

若要搜索具有特定源 IPv6 地址的攻击,可以选择此选项,然后键入要搜索的源 IPv6 地址。

目标 IPv6

要搜索具有特定目标 IPv6 地址的攻击,可以选择此选项,然后键入要搜索的目标 IPv6 地址。

源 ASN

要搜索具有特定源 ASN 的违规行为,可以从 “源 ASN” 列表框中选择源 ASN。

目标 ASN

要搜索具有特定目标 ASN 的违规行为,您可以从 目标 ASN 列表框中选择目标 ASN。

规则

要搜索与特定规则关联的违规,您可以从“ 规则组 ”列表框中选择包含要搜索的规则的规则组。“ 规则组 ”列表框显示分配给所选规则组的所有规则。从 “规则 ”列表框中,选择要搜索的规则。

应用 ID

若要搜索具有应用程序 ID 的攻击,可以从“ 应用 ID ”列表框中选择应用程序 ID。

  1. 单击 “进攻 ”选项卡。

  2. “搜索 ”列表框中,选择 “新建搜索”。

  3. 选择以下选项之一:

    • 要加载以前保存的搜索,请转到步骤 4

    • 要创建新搜索,请转到步骤 7

  4. 使用以下选项之一选择以前保存的搜索:

    • “可用的已保存搜索 ”列表中,选择要加载的已保存搜索。

    • 在“ 键入保存的搜索 ”或 “从列表中选择” 字段中,键入要加载的搜索的名称。

  5. 单击 加载

  6. 选。选中“编辑搜索”窗格中的“ 设置为默认值 ”复选框,将此搜索设置为默认搜索。如果将此搜索设置为默认搜索,则每次访问“ 冒犯 ”选项卡时,搜索都会自动执行并显示结果。

  7. 在“时间范围”窗格中,选择要为此搜索捕获的时间范围选择一个选项。参见表1。

  8. 在“搜索参数”窗格中,定义特定的搜索条件。参见表1。

  9. 在“攻击源”窗格中,指定要搜索的攻击类型和攻击源:

    1. 从列表框中,选择要搜索的攻击类型。

    2. 键入搜索参数。参见表 2。

  10. 在“列定义”窗格中,定义对结果进行排序的顺序:

    1. 从第一个列表框中,选择要作为搜索结果排序依据的列。

    2. 从第二个列表框中,选择要为搜索结果显示的顺序。选项包括降序和升序。

  11. 单击 “搜索”。

在“违规”选项卡上保存搜索条件

在“按源 IP”页面上搜索违规行为

本主题提供有关如何在“攻击”选项卡的“按源 IP”页上搜索攻击的过程。

下表描述了可用于在“ 按源 IP” 页面上搜索攻击数据的搜索选项:

表 3:按源 IP 页面搜索选项

选项

描述

所有罪行

您可以选择此选项以搜索所有源 IP 地址,而不考虑时间范围。

最近

您可以选择此选项,然后从此列表框中选择要搜索的时间范围。

特定间隔

若要指定要搜索的间隔,可以选择“特定间隔”选项,然后选择以下选项之一:

  • 开始日期介于选中此复选框可搜索与在特定时间段内开始的攻击关联的源 IP 地址。选中此复选框后,使用列表框选择要搜索的日期。

  • 上一个事件/上一个事件之间的流 选中此复选框可搜索与上次检测到的事件在特定时间段内发生的攻击关联的源 IP 地址。选中此复选框后,使用列表框选择要搜索的日期。

搜索

搜索图标在搜索页面上的多个窗格中可用。配置完搜索并希望查看结果后,可以单击“搜索”。

源 IP

在此字段中,您可以键入要搜索的源 IP 地址或 CIDR 范围。

大小

在此列表框中,可以指定量级,然后选择“仅显示量级等于、小于或大于配置值的冒犯”。范围为 0 - 10。

退伍军人风险

在此列表框中,可以指定 VA 风险,然后选择“仅显示 VA 风险等于、小于或大于配置值的违规”。范围为 0 - 10。

事件/流事件

在此列表框中,可以指定事件 或流 计数,然后选择“仅显示量级等于、小于或大于配置值的违规”。

排除

您可以选中要从搜索结果中排除的违规的复选框。这些选项包括:

  • 主动进攻

  • 隐藏的罪行

  • 封闭式犯罪

  • 非活动攻击

  • 受保护的进攻

  1. 单击 “进攻 ”选项卡。

  2. 单击 按源 IP

  3. “搜索 ”列表框中,选择 “新建搜索”。

  4. 在“时间范围”窗格中,选择要为此搜索捕获的时间范围选择一个选项。参见表1。

  5. 在“搜索参数”窗格中,定义特定的搜索条件。参见表1。

  6. 在“列定义”窗格中,定义对结果进行排序的顺序:

    1. 从第一个列表框中,选择要作为搜索结果排序依据的列。

    2. 从第二个列表框中,选择要为搜索结果显示的顺序。选项包括降序升序

  7. 单击 “搜索”。

在“违规”选项卡上保存搜索条件

在“按目的地 IP”页面上搜索违规行为

在“攻击”选项卡的“按目标 IP”页上,可以搜索按目标 IP 地址分组的攻击。

下表描述了可用于在 “按目标 IP” 页面上搜索违规的搜索选项:

表 4:按目标 IP 页面搜索选项

选项

描述

所有罪行

您可以选择此选项以搜索所有目标 IP 地址,而不考虑时间范围。

最近

您可以选择此选项,然后从此列表框中选择要搜索的时间范围。

特定间隔

若要指定要搜索的特定间隔,可以选择 “特定间隔 ”选项,然后选择以下选项之一:

  • 若要指定要搜索的特定间隔,可以选择 “特定间隔 ”选项,然后选择以下选项之一:

  • 上一个事件/上一个事件之间的流 选中此复选框可搜索与上次检测到的事件在特定时间段内发生的攻击关联的目标 IP 地址。选中此复选框后,使用列表框选择要搜索的日期

搜索

搜索图标在搜索页面上的多个窗格中可用。配置完搜索并希望查看结果后,可以单击“搜索”。

目标 IP

您可以键入要搜索的目标 IP 地址或 CIDR 范围。

大小

在此列表框中,可以指定量级,然后选择“仅显示量级等于、小于或大于配置值的冒犯”。

退伍军人风险

在此列表框中,可以指定 VA 风险,然后选择“仅显示 VA 风险等于、小于或大于配置值的违规”。范围为 0 - 10。

事件/流事件

在此列表框中,可以指定事件 或流 计数量级,然后选择“仅显示事件 或流 计数等于、小于或大于配置值的违规”。

  1. 单击 “进攻 ”选项卡。

  2. 在导航菜单上,单击 按目标 IP

  3. “搜索 ”列表框中,选择 “新建搜索”。

  4. 在“时间范围”窗格中,选择要为此搜索捕获的时间范围选择一个选项。参见表1。

  5. 在“搜索参数”窗格中,定义特定的搜索条件。参见表1。

  6. 在“列定义”窗格中,定义对结果进行排序的顺序:

    1. 从第一个列表框中,选择要作为搜索结果排序依据的列。

    2. 从第二个列表框中,选择要显示搜索结果的顺序。选项包括降序升序

  7. 单击 “搜索”。

在“攻击”选项卡上保存搜索条件在“攻击”选项卡上,可以保存配置的搜索条件,以便在将来的搜索中重复使用这些条件。保存的搜索条件不会过期。

在“按网络”页面上搜索攻击

在“进攻”选项卡的“按网络”页面上,可以搜索按关联网络分组的进攻。

下表描述了可用于在 “按网络” 页面上搜索攻击数据的搜索选项:

表 5:在“按网络”页面上搜索攻击数据的搜索选项

选项

描述

网络

从此列表框中,可以选择要搜索的网络。

大小

在此列表框中,可以指定量级,然后选择“仅显示量级等于、小于或大于配置值的冒犯”。

退伍军人风险

在此列表框中,可以指定 VA 风险,然后选择“仅显示 VA 风险等于、小于或大于配置值的违规”。

事件/流事件

在此列表框中,可以指定事件 或流 计数,然后选择“仅显示事件 或流 计数等于、小于或大于配置值的违规”。

  1. 单击 “进攻 ”选项卡。

  2. 单击“按网络”。

  3. “搜索 ”列表框中,选择 “新建搜索”。

  4. 在“搜索参数”窗格中,定义特定的搜索条件。参见表1。

  5. 在“列定义”窗格中,定义对结果进行排序的顺序:

    1. 从第一个列表框中,选择要作为搜索结果排序依据的列。

    2. 从第二个列表框中,选择要显示搜索结果的顺序。选项包括降序升序

  6. 单击 “搜索”。

在“违规”选项卡上保存搜索条件

在“违规”选项卡上保存搜索条件

“攻击” 选项卡上,可以保存配置的搜索条件,以便在将来的搜索中重复使用这些条件。保存的搜索条件不会过期。

  1. 程序

  2. 执行搜索。请参阅进攻搜索。

  3. 单击 保存条件

  4. 输入以下参数的值:

    选项

    描述

    参数

    描述

    搜索名称

    键入要分配给此搜索条件的名称。

    管理组

    单击“ 管理组 ”以管理搜索组。请参阅 管理搜索组

    时间跨度选项:

    选择以下选项之一:

    • 所有罪行选择此选项可搜索所有违规行为,而不考虑时间范围。

    • 最近选择该选项,然后从此列表框中选择要搜索的时间范围。

    • 特定间隔 - 若要指定要搜索的特定间隔,请选择“特定间隔”选项,然后选择以下选项之一:

      开始日期 - 选中此复选框可搜索在特定时间段内开始的违规。选中此复选框后,使用列表框选择要搜索的日期。上次事件/流量之间 - 选中此复选框可搜索上次检测到的事件在特定时间段内发生的攻击。选中此复选框后,使用列表框选择要搜索的日期。上次事件之间 - 选中此复选框可搜索上次检测到的事件在特定时间段内发生的攻击。选中此复选框后,使用列表框选择要搜索的日期。

    设置为默认值

    选中此复选框可将此搜索设置为默认搜索。

  5. 单击“确定”。

搜索在自定义属性上编制索引的违规行为

定义搜索条件以筛选违规列表,以便更轻松地查看需要调查的违规行为。您可以在搜索条件中使用攻击类型来查找基于自定义属性的所有攻击。可以筛选查询结果以显示具有特定自定义属性捕获结果的冒犯。

定制属性必须用作规则索引。有关详细信息,请参阅攻击索引。

  1. 单击 “进攻 ”选项卡。

  2. “搜索 ”列表中,选择 “新建搜索”。

  3. 在“ 攻击源 ”窗格中,选择“ 攻击类型 ”列表中的自定义属性。

    “攻击类型”列表仅显示用作规则索引的规范化字段和自定义属性。不能使用攻击源来搜索DateTime属性。

  4. 若要搜索在自定义属性捕获结果中具有特定值的冒犯,请在筛选器框中键入要搜索的值。

  5. 配置其他搜索参数以满足您的搜索要求。

  6. 单击 “搜索”。

符合搜索条件的所有违规行为都显示在犯罪列表中。查看攻击摘要时,您搜索的自定义属性将显示在“攻击类型”字段中。自定义属性捕获结果显示在“攻击源摘要”窗格的“自定义属性值”字段中。

相关文档