监控威胁地图
您在此处: 监控 > 地图和图表 > 威胁地图。
除 SRX5000 系列设备外,所有 SRX 系列防火墙都提供威胁地图页面。
使用此页面可以直观地查看地理区域之间的传入和传出威胁。您可以根据来自入侵防御系统 (IPS)、防病毒、反垃圾邮件引擎、瞻博网络 ATP 云和屏幕选项的源查看被阻止和允许的威胁事件。您还可以单击特定地理位置查看事件计数以及前五个入站和出站 IP 地址。
要查看威胁图(实时)页面上的数据,请确保:
已启用安全日志记录。如果未启用,请转至 “设备管理 > 基本设置 > 安全日志记录 ”并启用 流模式日志记录。
设备上配置了必需的防火墙策略。
为 IPS 和防病毒配置了必需的许可证。
您的设备已注册到瞻博网络 ATP 云服务器。
威胁数据从上午 12:00(午夜)开始显示,一直显示到当天当前时间(您的时区),并每 30 秒更新一次。当前日期和时间显示在右上角,图例显示在页面左下角。
查看页面时,如果发生威胁,动画会显示威胁发源的国家/地区(来源)和威胁发生所在的国家/地区(目的地)。
具有未知地理 IP 地址和专用 IP 地址的威胁显示为UNKNOWN_COUNTRY。
字段说明
表 1 显示了威胁图(实时)页面的字段。
领域 |
描述 |
---|---|
阻止和允许的威胁总数 |
显示阻止和允许的威胁总数。单击超链接编号可转至“所有事件(监控 > 日志 > 所有事件)”页面(Grid View 选项卡的过滤视图),您可以在其中查看有关 IPS、病毒、垃圾邮件、瞻博网络 ATP 云和筛选事件的更多信息。 |
阻止和允许的威胁 |
显示以下类别阻止和允许的威胁总数:
|
热门目的地国家/地区 |
显示前五个目的地国家/地区以及每个国家/地区的威胁数量。 |
顶级来源国家/地区 |
显示前五个来源国家/地区以及每个国家/地区的威胁数量。 |
威胁类型
威胁图页面根据来自 IPS、防病毒、反垃圾邮件引擎、瞻博网络 ATP 云和屏幕选项的源显示阻止和允许的威胁事件。 表 2 介绍了阻止和允许的不同类型的威胁。
攻击 |
描述 |
---|---|
IPS 威胁事件 |
IDP 模块检测到的入侵检测和防御 (IDP) 攻击。 报告有关攻击的信息(显示在 IPS(监控 > 日志 > 威胁 页面上)包括以下信息:
|
病毒 |
防病毒引擎检测到的病毒攻击。 报告有关攻击的信息(显示在“防病毒”(监控 > 日志 > 威胁 页面上)包括以下信息:
|
垃圾 邮件 |
根据垃圾邮件黑名单检测到的电子邮件垃圾邮件。 报告有关攻击的信息(显示在“反垃圾邮件(监控 > 日志 > 威胁 ”页面上)包括以下信息:
|
瞻博网络 ATP 云 |
基于瞻博网络 ATP 云策略检测的事件。 报告有关攻击的信息(显示在屏幕上(监控 > 日志 > ATP 页面)包括以下信息:
|
屏幕 |
根据屏幕选项检测到的事件。 报告有关攻击的信息(显示在屏幕上(监控 > 日志 > 威胁 页面)包括以下信息:
|
您可以执行的任务
您可以从此页面执行以下任务:
在更新数据和允许实时更新之间切换 — 单击 暂停 图标以阻止页面更新威胁地图数据和停止动画。单击 Play 图标可更新页面数据并恢复动画。
放大缩小页面 — 单击放大 (+) 并放大 (-) 图标放大缩小页面。
平移页面 — 单击并拖移鼠标来平移页面。
查看特定于国家/地区的详细信息:
单击威胁地图上的某个国家/地区以查看特定于该国家/地区的威胁信息。将显示 “国家/地区名称” 弹出窗口,显示国家/地区特定的信息。
单击“国家/地区名称”弹出窗口中的查看详细信息,查看更多详细信息。将显示“国家/地区名称(详细信息)”面板。
表 3 提供了特定于国家/地区的威胁信息的更多详细信息。
领域 |
描述 |
---|---|
以国家/地区名称弹出窗口显示 |
|
威胁事件数 上午 12:00 以来的威胁事件 |
显示国家/地区自午夜以来的威胁事件总数(入站和出站)。 |
入站(威胁事件数) |
显示国家/地区入站威胁总数和 IP 地址,以及前五个入站事件中该 IP 地址的事件数。 单击查看全部,查看所有带有威胁事件计数的目标 IP 地址。 |
出站(威胁事件数) |
显示国家/地区和 IP 地址的出站威胁总数,以及前五个出站事件中该 IP 地址的事件数量。 单击 查看全部 以查看带有威胁事件计数的所有源 IP 地址。 |
查看详细信息 — 显示在国家/地区名称(详细信息)面板中 |
|
威胁事件数 上午 12:00 以来的威胁事件 |
显示国家/地区自午夜以来的威胁事件总数(入站和出站)。 |
入站事件数 |
显示国家/地区入站威胁总数以及以下每个类别的入站威胁事件数:
单击 前 5 个 IP 地址(入站), 查看前 5 个入站事件的 IP 地址和该 IP 地址的事件数量。 单击 “查看所有 IP 地址 ”可查看所有目标 IP 地址以及该 IP 地址的事件数。
注意:
只有在单击“前 5 个 IP 地址(入站)”之后,您才能查看或选择“查看所有 IP 地址”。 |
出站事件数 |
显示国家/地区出站威胁总数以及以下每个类别的出站威胁事件数:
单击 前 5 个 IP 地址(出站), 查看前 5 个出站事件的 IP 地址和该 IP 地址的事件数量。 单击 “查看所有 IP 地址 ”可查看所有源 IP 地址以及该 IP 地址的事件数。
注意:
只有在单击前 5 个 IP 地址(出站)后,您才能查看或选择“查看所有 IP 地址”。 |