自定义仪表板
您可以自定义仪表板。 “仪表板 ”选项卡上显示的内容是特定于用户的内容。在 JSA 会话中所做的更改仅影响您的系统。
要自定义 仪表板 选项卡,您可以执行以下操作:
创建与您的职责相关的自定义仪表板。每个用户最多 255 个仪表板;但是,如果创建 10 个以上的仪表板,则可能会出现性能问题。
在默认或自定义仪表板中添加和删除仪表板项目。
移动和定位项目以满足您的要求。当您定位项目时,每个项目都会根据仪表板的比例自动调整大小。
添加基于任何数据的自定义仪表板项目。
例如,可以添加提供时序图的仪表板项或表示前 10 个网络活动的条形图。
要创建自定义项目,您可以在“网络活动”或“日志活动”选项卡上创建保存的搜索,并选择在仪表板中显示结果的方式。每个仪表板图表都显示实时的最新数据。仪表板上的时序图每 5 分钟刷新一次。
流搜索
您可以显示基于“ 网络活动 ”选项卡中保存的搜索条件的自定义仪表板项目。
流搜索项列在添加 项>网络活动>流搜索 菜单中。流程搜索项的名称与项所基于的已保存搜索条件的名称匹配。
默认保存的搜索条件可用,并预配置为在 仪表板 选项卡菜单上显示流程搜索项。您可以向 “仪表板 ”选项卡菜单添加更多流搜索仪表板项。有关详细信息,请参阅 将基于搜索的仪表板项目添加到添加项目列表。
在流搜索仪表板项上,搜索结果在图表上显示实时最后一刻的数据。支持的图表类型包括时间序列、表格、饼图和条形图。默认图表类型为条形图。这些图表是可配置的。有关配置图表的详细信息,请参阅 配置图表。
时间序列图表是交互式的。使用时间序列图表,您可以放大和扫描时间轴以调查网络活动。
犯罪
您可以向仪表板添加多个与进攻相关的项目。
隐藏或关闭的违规不包括在 “仪表板 ”选项卡中显示的值中。有关隐藏或关闭事件的详细信息,请参阅 攻击管理。
下表描述了“进攻”项:
仪表板项 |
描述 |
---|---|
最近的罪行 |
最近的五种罪行都标有量级标准,以告知您罪行的重要性。指向攻击名称可查看 IP 地址的详细信息。 |
最严重的罪行 |
五种最严重的罪行用一个量级标准标识,以告知您罪行的重要性。指向攻击名称可查看 IP 地址的详细信息。 |
我的罪行 |
“ 我的冒犯 ”项显示分配给您的 5 个最近犯法。这些罪行用一个量级条来标识,以告知您罪行的重要性。指向 IP 地址以查看 IP 地址的详细信息。 |
主要来源 |
“主要来源”项显示顶级攻击源。每个来源都用幅度条标识,以告知您来源的重要性。指向 IP 地址以查看 IP 地址的详细信息。 |
热门本地目的地 |
“热门本地目标”项显示排名靠前的本地目的地。每个目的地都用幅度条标识,以告知您目的地的重要性。将光标指向 IP 地址以查看 IP 的详细信息 |
类别 |
“ 热门类别类型 ”项显示与最高犯罪数关联的前 5 个类别。 |
日志活动
日志活动仪表板项将允许您实时监视和调查事件。
隐藏或关闭的事件不包括在 “仪表板 ”选项卡中显示的值中。
仪表板项 |
描述 |
---|---|
事件搜索 |
您可以显示基于日志活动选项卡中保存的搜索条件的自定义仪表板项目。事件搜索项列在 “添加项>网络活动>事件搜索 ”菜单中。事件搜索项目的名称与项目所基于的已保存搜索条件的名称匹配。 您可以显示基于日志活动选项卡中保存的搜索条件的自定义仪表板项目。事件搜索项列在添加 项>日志活动>事件搜索 菜单中。事件搜索项目的名称与项目所基于的已保存搜索条件的名称匹配。 JSA 包括默认保存的搜索条件,这些条件已预配置为在仪表板选项卡菜单上显示事件搜索项目。您可以将更多事件搜索仪表板项目添加到仪表板选项卡菜单。有关详细信息,请参阅将基于搜索的仪表板项目添加到“添加项目”列表。 在 “日志活动 ”仪表板项上,搜索结果在图表上显示实时最后一刻的数据。支持的图表类型包括时间序列、表格、饼图和条形图。默认图表类型为条形图。这些图表是可配置的。 时间序列图表是交互式的。您可以放大并扫描时间线以调查日志活动。 |
按严重性划分的事件 |
“按严重性划分的事件”仪表板项显示按严重性分组的活动事件数。此项将允许您查看分配的严重性级别接收的事件数。严重性表示攻击源构成的威胁量,与目标对攻击的准备程度相关。严重性范围为 0(低)到 10(高)。支持的图表类型包括表格、饼图和条形图。 |
热门日志源 |
“排名靠前的日志源”仪表板项显示过去 5 分钟内向 JSA 发送事件的前 5 个日志源。 “排名靠前的日志源”仪表板项显示过去 5 分钟内将事件发送到 JSA 日志管理器的前 5 个日志源。 从指定日志源发送的事件数在饼图中指示。此项将允许您查看行为的潜在更改,例如,如果通常不在前 10 名列表中的防火墙日志源现在占总消息计数的很大百分比,则应调查此情况。支持的图表类型包括表格、饼图和条形图。 |
系统摘要
“系统摘要”仪表板项提供过去 24 小时内活动的高级摘要。
在摘要项目中,您可以查看以下信息:
每秒电流显示每秒的流速。
流量(过去 24 小时)显示过去 24 小时内看到的活动流总数。
每秒当前事件数显示每秒的事件速率。
新事件(过去 24 小时)显示过去 24 小时内收到的新事件的总数。
更新的违规行为(过去 24 小时)显示过去 24 小时内使用新证据创建或修改的犯罪总数。
数据缩减率显示根据过去 24 小时内检测到的事件总数和过去 24 小时内修改的违规数减少的数据比率。
风险监控仪表板
您可以使用 风险监控 仪表板监控资产、策略和策略组的策略风险和策略风险更改。
默认情况下, “风险监控 ”仪表板显示 “风险 ”和“ 风险更改 ”项,这些项监视“高漏洞”、“中漏洞”和“低漏洞”策略组中资产的策略风险评分,以及 CIS 策略组中策略风险评分的合规性通过率和历史变化。
除非 JSA 风险管理器 获得许可,否则风险监控仪表板项目不会显示任何结果。有关更多信息,请参阅 JSA 风险管理器 用户指南。
要查看默认的风险监控仪表板,请在仪表板选项卡上选择显示仪表板>风险监控。
监控策略合规性
创建一个仪表板项目,其中显示所选资产、策略和策略组的策略合规性通过率和策略风险评分。
单击 仪表板 选项卡。
在工具栏上,单击 “新建仪表板”。
键入策略合规性仪表板的名称和说明。
单击“确定”。
在工具栏上,选择 添加项>风险管理器>风险。
仅当 JSA 风险管理器获得许可时,才会显示风险管理仪表板项目。
在新仪表板项的标题上,单击黄色的 设置 图标。
使用 “图表类型”、“ 显示顶部”和 “排序 ”列表配置图表。
从 “组 ”列表中,选择要监视的组。有关详细信息,请参阅步骤 9 中的表。
选择“资产”选项时,“风险”仪表板项的底部将显示指向“风险>策略管理>按资产”页面的链接。“按资产”页面显示有关为所选策略组返回的所有结果的更多详细信息。有关特定资产的更多信息,请从图表类型列表中选择表,然后单击资产列中的链接,以在按资产页面中查看有关该资产的详细信息。
选择“策略”选项时,“风险”仪表板项的底部将显示指向“风险>策略管理>按策略”页的链接。“按策略”页面显示有关为所选策略组返回的所有结果的更多详细信息。有关特定策略的详细信息,请从“图表类型”列表中选择“表”,然后单击“策略”列中的链接,以在“按策略”页面中查看有关该策略的详细信息。
从 “图表 ”列表中,选择要使用的图表类型。有关详细信息,请参阅下表:
组
资产通过百分比
策略检查通过百分比
策略组通过百分比
保单风险评分
所有
返回跨资产、策略和策略组的平均资产百分比传递率。
返回跨资产、策略和策略组的平均策略检查通过百分比。
返回所有资产、策略和策略组的平均策略组通过率。
返回所有资产、策略和策略组的平均策略风险评分。
资产
返回资产是否通过资产合规性(100%=通过,0%=失败)。
使用此设置可显示与策略组关联的哪些资产符合要求。
返回资产通过的策略检查的百分比。
使用此设置可以显示针对与策略组关联的每个资产通过的策略检查的百分比。
返回与资产关联的通过合规性的策略子组的百分比。
返回与每个资产关联的策略问题的所有重要性因子值的总和。
使用此设置可查看与所选策略组关联的每个资产的策略风险。
政策
返回与策略组中每个策略关联的所有资产是否通过合规性。
使用此设置可以监控与策略组中每个策略关联的所有资产是否通过。
返回策略组中每个策略通过的策略检查的百分比。
使用此设置可以监视每个策略失败的策略检查数。
返回策略所属的策略子组通过合规性的百分比。
返回“策略”组中每个策略问题的重要性因子值。
使用此设置可以查看策略组中每个策略的重要性因素。
策略组
返回所选策略组作为一个整体通过合规性的资产百分比。
返回针对整个策略组的每个策略通过的策略检查的百分比。
返回策略组中通过合规性的策略子组的百分比。
返回“策略”组中所有策略问题的所有重要性因子值的总和。
从 “策略组 ”列表中,选择要监视的策略组。
单击 保存。
监控风险变化
创建一个仪表板项目,用于每天、每周和每月显示所选资产、策略和策略组的策略风险更改。
使用此仪表板项可以比较一段时间内策略组的策略风险评分、策略检查和策略值的变化。
“风险更改”仪表板项使用箭头指示所选值的策略风险在选定时间段内增加、减少或保持不变的位置:
红色箭头下方的数字表示显示风险增加的值。
灰色箭头下方的数字表示风险没有变化的值。
绿色箭头下方的数字表示显示风险降低的值。
单击 仪表板 选项卡。
在工具栏上,单击 “新建仪表板”。
键入历史策略合规性仪表板的名称和说明。
单击“确定”。
在工具栏上,选择“ 添加项>风险管理器>风险更改。
风险经理仅当 JSA 风险管理器获得许可时,才会显示仪表板项目。
在新仪表板项的标题上,单击黄色的 设置 图标。
从 “策略组 ”列表中,选择要监视的策略组。
从 “要比较的值 ”列表中选择一个选项:
如果要查看所选策略组中所有策略问题的重要性因子的累积变化,请选择 策略风险评分。
如果要查看所选策略组中更改的策略检查数,请选择 策略检查。
如果要查看所选策略组中更改的策略数,请选择 “策略”。
从“ 增量时间” 列表中选择要监视的风险更改期间:
如果要将今天凌晨 12:00 开始的风险变化与昨天的风险变化进行比较,请选择“ 天”。
如果要将本周星期一凌晨 12:00 开始的风险变化与上周的风险变化进行比较,请选择 “周”。
如果要将当月第一天凌晨 12:00 开始的风险变化与上个月的风险变化进行比较,请选择 月。
单击 保存。
漏洞管理项
漏洞管理仪表板项目仅在购买 JSA 漏洞管理器 并获得许可时显示。
有关更多信息,请参阅《 瞻博网络安全分析漏洞管理器用户指南》。
您可以显示基于 漏洞选项卡中保存 的搜索条件的自定义仪表板项目。搜索项目列在 “添加项目>漏洞管理”>“漏洞搜索 ”菜单中。搜索项目的名称与项目所基于的已保存搜索条件的名称匹配。
JSA 包括默认保存的搜索条件,这些条件预配置为在仪表板选项卡菜单上显示搜索项目。您可以将更多搜索仪表板项目添加到仪表板选项卡菜单。
支持的图表类型包括表格、饼图和条形图。默认图表类型为条形图。这些图表是可配置的。
系统通知
“系统通知仪表板”项显示系统接收的事件通知。
要使通知显示在 “系统通知 ”仪表板项目中,管理员必须创建基于每种通知消息类型的规则,并在“自定义规则向导”中选中“ 通知 ”复选框。
有关如何配置事件通知和创建事件规则的更多信息,请参阅《 瞻博网络安全分析管理指南》。
在 “系统通知 ”仪表板项上,您可以查看以下信息:
国旗显示一个符号以指示通知的严重性级别。指向该符号可查看有关严重性级别的更多详细信息。
运行状况图标
信息图标 (?)
错误图标 (X)
警告图标 (!)
创建显示自创建通知以来经过的时间量。
描述显示有关通知的信息。
关闭图标 (x)将允许您关闭系统通知。
您可以将鼠标悬停在通知上以查看更多详细信息:
主机 IP显示发出通知的主机的主机 IP 地址。
严重性显示创建此通知的事件的严重性级别。
低级别类别显示与生成此通知的事件关联的低级别类别。例如:服务中断。
负载显示与生成此通知的事件关联的有效负载内容。
创建显示自创建通知以来经过的时间量。
添加 “系统通知 ”仪表板项目时,系统通知也可在 JSA 用户界面中显示为弹出通知。无论选择哪个选项卡,这些弹出通知都显示在用户界面的右下角。
弹出通知仅适用于具有管理权限的用户,默认情况下处于启用状态。要禁用弹出通知,请选择 用户首选项 并清除 启用弹出通知 复选框。
在 “系统通知 ”弹出窗口中,将突出显示队列中的通知数。例如,如果标头中显示 (1 - 12),则当前通知是要显示的 12 个通知中的 1 个。
系统通知弹出窗口提供以下选项:
下一个图标 (>)显示下一条通知消息。例如,如果当前通知消息为 3 条,共 6 条,请单击该图标以查看 4 条,共 6 条。
关闭图标 (X) - 关闭此通知弹出窗口。
(详情)显示有关此系统通知的详细信息。