Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

如何监控事件

使用“事件”页可以在用户时间线视图中查看与终结点相关的所有事件。若要访问“事件”页,请选择“ 监视 > 见解 ”> “事件”。

有两种方法可以查看数据。您可以选择“网格”视图或“绘图”视图。默认情况下,数据显示在网格视图中。在时间轴区域,您可以从列表中选择日志解析器,以查看时间轴图中的日志数据。您可以放大、缩小、显示所有数据和刷新数据。

网格视图

单击 网格视图 以获取有关事件的全面详细信息。可以查看事件 ID、事件状态、进度等。您可以展开事件以查看更多详细信息,并根据需要创建 ServiceNow 票证,如图 1 所示。

图 1:事件的 Grid View for Incidents网格视图

创建工单后,事件状态将更改为“已确认”,如图 2 所示

图 2:事件状态已更改 Incidents Status Changed

表 1 描述了此视图中可用的不同字段。您可以查看自定义时间范围、过去 24 小时、上周、上个月和去年的数据。

表 1:网格视图页面上的字段

字段名称

描述

地位

指定 ServiceNow 票证的状态。创建 ServiceNow 票证后,状态将显示“已确认”,如图 2 所示。

事件 ID

指定事件 ID。

风险

指定威胁衡量指标和严重等级。

进展

指定事件的进度

威胁目标

指定目标主机的 IP 地址。

日期和时间

指定事件的时间戳。

在“状态”列中,单击“ > ”以查看有关事件的其他详细信息( 表 1 中提供的详细信息除外),例如:

  • 主机名 — 如果配置了瞻博网络身份管理服务 (JIMS),则会显示主机名。

  • 用户名 - 如果配置了 JIMS,则显示用户名。

  • IP 地址

  • 导致事件的事件数

  • 完全限定域名 (FQDN)

  • 威胁严重性值

  • 与事件关联的威胁源数

表 2 说明了每个事件可用的其他选项。

表 2:每个事件的选项

选项

描述

事件详情

选择 “事件详细信息 ”以查看有关事件的以下信息:

  • 事件的名称

  • 事件的源 IP 地址

  • 活动的日期和时间

  • 供应商对活动的回应

  • 日志解析器的名称

  • 进度详情

  • 检测方法

  • 端点 IP 地址

  • 事件的原始日志

  • 开始和结束严重性级别

缓解事件

选择“ 缓解事件 ”以启用缓解(如果禁用),反之亦然。

若要减少事件,必须已配置 ATP 云或策略实施器。有关缓解设置的详细信息,请参阅 配置缓解设置

创建工单

您可以为事件创建 ServiceNow 票证。您必须已配置 ServiceNow 设置才能创建 ServiceNow 票证。请参阅 关于 ServiceNow 配置页面

要创建 ServiceNow 工单,请执行以下操作:

  1. 选择 创建票证

    此时将显示“创建 ServiceNow 工单”页面,如图 3 所示。

    图 3:创建 ServiceNow 工单页面 Create ServiceNow Ticket Page

  2. 在“紧急性”字段中,从列表中选择工单的优先级。

  3. 在 简短描述 字段中,提供有关事件的简短描述。

  4. 在“描述”字段中,提供有关事件的更详细说明。

  5. 单击 提交

绘图视图

单击 “绘图视图 ”链接,查看以飙升气泡图表示的事件的简要摘要。每个气泡代表一个主机,气泡大小与威胁数量成正比, 如图 4 所示。

图 4:事件图视图 Incident Plot View

您可以查看自定义时间范围、过去 24 小时、上周、上个月和去年的数据。

时间线视图

您可以在时间线上查看所有事件。将鼠标悬停在每个事件上可查看有关事件的更多详细信息。在“选择日志分析器”列表中,可以选择所需的日志分析器。您可以选择一个或所有日志解析器。默认情况下,时间线图显示日志源中所有已配置的供应商。

单击 全部显示 以查看所选时间范围内与终端节点关联的所有事件。

您可以启用 Cluster 选项来集群属于同一时间的事件,如图 5 所示。

图 5:事件的 Cluster View of Incidents群集视图

您还可以放大、缩小和重置时间轴图表中的数据。重置选项显示相应事件的事件。

相关文档