Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

如何监控事件

使用“事件”页可在用户时间线视图中查看与终结点相关的所有事件。若要访问“事件”页,请选择 “监视 > 见解 > 事件”。

有两种方法可以查看数据。您可以选择“网格”视图或“绘图”视图。默认情况下,数据显示在“网格”视图中。在时间轴部分,您可以从列表中选择日志解析器,以查看时间轴图中的日志数据。您可以放大、缩小、显示所有数据并刷新数据。

网格视图

单击 “网格视图” 可查看有关事件的全面详细信息。您可以查看事件 ID、事件状态、进度等。您可以展开事件以查看更多详细信息,并根据需要创建 ServiceNow 工单,如 图 1 所示。

图 1:事件 Cybersecurity incident management dashboard showing a list of security incidents with details like status, risk, and threat target. Includes action buttons for incident management and a timeline of events.的网格视图

创建工单后,事件的状态将更改为“已确认”,如图 2 所示

图 2:事件状态已更改 Cybersecurity dashboard showing a high-risk incident ID 1c59fed41297 targeting IP 59.27.101.112 on Oct 8, 2020, at 06:15.

表 1 介绍了此视图中可用的不同字段。您可以查看自定义时间范围内的数据,过去 24 小时、上周、上个月和去年。

表 1:网格视图页面上的字段

字段名称

描述

地位

指定 ServiceNow 票证的状态。创建 ServiceNow 工单后,状态显示已确认,如 图 2 所示。

事件 ID

指定事件 ID。

风险

指定威胁指标和严重性等级。

级数

指定事件的进展

威胁目标

指定目标主机的 IP 地址。

日期和时间

指定事件的时间戳。

在“状态”列中,单击“ > ”可查看有关事件的其他详细信息(表 1 中提供的详细信息除外),例如:

  • 主机名 — 如果配置了瞻博网络身份管理服务 (JIMS),则会显示主机名。

  • 用户名 - 如果配置了 JIMS,则会显示用户名。

  • IP地址

  • 导致事件的事件数

  • 完全限定域名 (FQDN)

  • 威胁严重性值

  • 与事件关联的威胁源数

表 2 说明了每个事件可用的其他选项。

表 2:每个事件的选项

选择

描述

事件详细信息

选择 “事件详细信息” 以查看有关事件的以下信息:

  • 事件名称

  • 事件的源 IP 地址

  • 活动日期和时间

  • 供应商对事件的回应

  • 日志分析器的名称

  • 进展细节

  • 检测方法

  • 端点 IP 地址

  • 事件的原始日志

  • 开始和结束严重性级别

缓解事件

选择 “缓解事件 ”以在禁用时启用缓解,反之亦然。

若要缓解事件,必须已配置 ATP 云或策略实施器。有关缓解设置的详细信息,请参阅 配置缓解设置

创建工单

您可以为事件创建 ServiceNow 工单。您必须已配置 ServiceNow 设置才能创建 ServiceNow 工单。请参阅 关于 ServiceNow 配置页

要创建 ServiceNow 工单,请执行以下作:

  1. 选择 “创建票证”

    此时将显示 Create ServiceNow Ticket 页面,如 图 3 所示。

    图 3:创建 ServiceNow 工单页 ServiceNow ticket form with fields: Urgency dropdown, Short Description text box, Description text box, and Cancel and Submit buttons.

  2. 在“紧急”字段中,从列表中选择工单的优先级。

  3. 在“简短描述”字段中,提供有关事件的简短说明。

  4. 在“描述”字段中,提供有关事件的更详细描述。

  5. 点击 提交

剧情视图

单击 “绘图视图” 链接,查看飙升气泡图中表示的事件的简要摘要。每个气泡代表一个主机,气泡大小与威胁数量成正比,如 图 4 所示。

图 4:事件绘图视图 Timeline of threat risk incidents from September 13 to October 11. Max severity red dot and Low severity yellow dot on October 7.

您可以查看自定义时间范围内的数据,过去 24 小时、上周、上个月和去年。

时间线视图

您可以在时间轴图表上查看所有事件。将鼠标悬停在每个事件上可查看有关事件的更多详细信息。在“选择日志分析器”列表中,可以选择所需的日志分析器。您可以选择一个或所有日志分析器。默认情况下,时间线图显示日志源中所有已配置的供应商。

单击 “全部显示 ”可查看所选时间范围内与终结点关联的所有事件。

您可以启用 Cluster 选项来对属于同一时间的事件进行聚类,如 图 5 所示。

图 5:事件 Timeline visualization of log events from Juniper SRX and McAfee ePolicy Orchestrator parsers between 0450 and 0500 on October 7. At 0455, 2 events are detected.群集视图

您还可以放大、缩小和重置时间轴图中的数据。重置选项显示相应事件的事件。

相关主题