Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

威胁监控概述

您可以按类别和技术监视并获取有关一段时间内检测到的所有主要威胁的详细信息。.威胁定义为任何 IPS、防病毒、反垃圾邮件、设备身份验证失败、屏幕、SecIntel 或瞻博网络高级威胁防御云(瞻博网络 ATP 云)。

使用时间范围滑块,您可以通过将时间滑块拖动到您感兴趣的区域来立即关注异常活动区域。滑块和“自定义”按钮可用于摘要视图和详细视图。您可以使用摘要视图或详细信息视图选项卡选择时间范围并决定如何查看数据。

您可以通过手动移动提供的小组件中的时间范围滑块或单击“威胁监控”页面右上角可用的预定义时间范围来更改时间范围。数据将自动重新加载新选择时间范围内发生的威胁。

默认情况下,您可以查看所有设备的数据。要查看特定设备的数据,请单击设备旁边的链接,然后选择一个或多个设备。

您可以根据以下内容查看、排序、搜索和筛选威胁信息:

  • 目的地

  • 实例数

  • 严重性

  • 一段时间内的实例数

  • 目标受到攻击的频率

  • 按攻击类型划分的严重性

  • 网络攻击间隔加班

摘要视图

单击 摘要视图 可查看网络中所有威胁的简要摘要。

“摘要”视图中的小组件显示关键信息,例如按事件计数划分的主要威胁、主要来源国家/地区、主要目标设备、主要目标国家/地区、主要攻击者、主要来源区域和主要目标区域。

以下选项可用于在摘要视图中查看微件:

  • 气泡图 - 选择气泡图查看威胁时,事件通过颜色代码指示。

  • 条形图 - 选择条形图时,事件点的强度通过条形表示。

  • 网格视图 – 选择网格视图时,数据以表格格式显示。

有关摘要视图中小组件的说明,请参阅 表 1

表 1:摘要视图中的小组件

部件

描述

按事件计数划分的主要威胁

按事件计数显示所有威胁。

主要来源国家

显示受威胁的前五个来源国家/地区。

主要目标设备

显示最有可能受到威胁的前五台设备。

热门目的地国家

显示受威胁的前五个目的地国家/地区。

主要攻击者

显示网络中排名前五的攻击者。

热门源区域

显示受到威胁的前五个源区域。

热门目标区域

显示受到威胁的前五个目标区域。

详细视图

单击 “详细信息视图 ”,以表格格式(包括可排序列)查看威胁的全面详细信息。您可以从分组依据下拉菜单中选择特定参数,也可以从提供的搜索窗口中搜索和过滤特定属性或事件。现在,您还可以将事件拖放到搜索窗口以应用筛选器。

从“更多”下拉列表中选择“显示原始日志”,以查看为所选特定事件接收的实时日志。

更多下拉菜单中选择显示事件详细信息,以查看所选事件的日志的完整详细信息。您可以查看日志的一般信息、源信息、目标信息和安全信息。

从网格设置窗格中选择 导出到 CSV 选项,以导出并下载 CSV 文件中的日志数据。

从网格设置窗格中选择“ 显示隐藏列 ”以显示或隐藏网格中的各种参数。

有关详细视图中的字段说明,请参阅 表 2

表 2:详细视图中的字段

领域

描述

事件类别

威胁的事件类别。

攻击名称

威胁的攻击名称。

病毒名称

病毒的名称。

Url

生成威胁的 URL。

恶意软件信息

恶意软件的信息。

威胁严重性

威胁的严重性级别。

源 IP

发生威胁的源 IP 地址。

目标 IP

威胁的目标 IP 地址。

事件名称

威胁的事件名称。

行动

针对威胁采取的措施:拒绝、允许和阻止。

源区域

威胁的源区域。

目标区域

威胁的目标区域。

来源国家

来源国家/地区名称。

目的地国家

发生威胁的目标国家/地区名称。

客户端主机名

客户端的主机名。

服务名称

应用程序服务的名称。

用户名

威胁事件的用户名。

逻辑系统名称

逻辑系统的名称。

应用

从中生成威胁的应用程序名称。

嵌套应用程序

在父应用程序上运行的嵌套应用程序。

源端口

威胁的源端口。

目标端口

威胁的目标端口。

规则名称

规则的名称。

配置文件名称

触发事件的威胁监视配置文件的名称。

角色

与威胁关联的角色名称。

原因

产生威胁的原因。

NAT 源 IP

已转换(或 nated)的源 IP 地址。它可以包含 IPv4 或 IPv6 地址。

NAT 目标 IP

转换后(也称为 natted)目标 IP 地址。

NAT 源端口

转换后的源端口。

NAT 目标端口

转换的目标端口。

NAT 源规则名称

NAT 源规则名称。

NAT 目标规则名称

NAT 目标规则名称。

主机 名

目标设备的主机名。

流量会话 ID

标识会话的编号。

逻辑子系统名称

JSA 日志中逻辑系统的名称。

描述

威胁的描述。

策略名称

触发事件的策略名称。

日志源

日志源的 IP 地址。

日志生成时间

生成日志的时间。

日志接收时间

接收日志的时间。