天眼使用指南--分析平台
#天眼分析平台
提供全面的溯源分析能力,涵盖图中模块。负责存储日志,分为三类,告警日志
告警日志:来自探针和沙箱的告警,探针的告警可以记录双向完整对话,如果网络流量中没有恶意信息,就会储存一些关键信息,如http请求部分状态码,tcp上下前一百字节,包的大小等等;记录下来形成网络日志存储,存到日志平台里面。
天眼还存储终端日志,终端日志记录了mac地址,dns信息,进程端口信息,
分析平台和传感器的区别,分析平台的存储空间比传感器大得多。
#检测中心一些功能
有个八个维度,自己去选择展示就可以了。。
#检测中心
看和那些设备进行联动了,可以去查看
#检测中心-工作台
这个跟着他可以自定义配置重点检测,一些常见的高危漏洞都可以自己去配置,还有一些其他的服务,dns服务分析,行为分析,等等一系列。资产感知可以配置一些资产管理,发现,配置一些证书和设备监控
#检测中心-态势感知
使用2k。4k分辨率吧,推荐用谷歌浏览器。
#检测中心-态势感知高级版
这个支持下钻的,安装态势胶囊就行了,就可以下钻到更详细的对方,展示的都差不多,更方便高清一些。
#分析平台-威胁感知
流量传感器,威胁文件鉴定器,日志等等所以告警都汇聚到这里来进行一个展示。
#威胁感知-检索
可以查看历史检索,还有高级检索自定义搜查等等
当我们发现有一些告警时,发现可疑行为,我们会去看他的流量,日志,看他是否有动作,就来到分析中心来检索他的日志,分为告警日志,网络日志,终端日志
告警日志分为,威胁告警,webshell上传,网页漏洞利用,网络攻击,威胁情报告警,杀向警告告警等等。有九种。
网络日志:传感器的协议解析日志,细分为tcp流量,udp流量,域名解析,文件传输等十五种
终端日志:天擎中端产生的,细分为u盘,文件传输,邮件附件传输,im文件传输,一共五类。
分析中心分两个部分,资产分组展示和日志内容展示部分。
图中就类似左边是配置项,右边是日志展示,点击可以详细。
#分析中心-行为分析
分为七大模块,每个模块都有自己的对应场景,根据多种类型,检测用户的不正常行为,dns服务分析,根据名字就能判断出来,可能包括dns解析,dns服务发现,链路劫持等等;
重点弱口令对一些密码的明文泄露,各种ssh,特权账号登录进行展示;
全包区中分析:根据用户查询条件,或者告警中提取线索,从区中分析提取皮卡包,解析,去看相应的趋势图和协议树等等
天眼狩猎:以用户提供的线索,进行一个全库的查询,输出线索相关数据,包括暴力破解,失陷主机,访问关系等一系列线索。
#发现中心-相应处理
包括,处置编排,策略管理,处置记录,联动记录。
处置编排:提供系统的内置任务脚本,联动服务,工作流程,支持用户自定义
策略管理:策略定义,策略联动。策略定义就是一个处置策略,需要引用用户的自定义工作流程,怎么去处理这个事件,可以去看看旁边左边预制的工作流程。
处置记录:对告警处置之后,在这里会产生一个工作运行记录,点击可以详细。
#分析中心-资产感知
包括了资产,脆弱性,配置检查,补天漏洞,
资产:资产管理,发现,,互访,每个模块都是对资产不同的维度进行展示;客户录入资产之后,绑定名称,之后产生告警,可以快速定位那些资产区产生告警。
脆弱:漏洞的知识库管理,客户导入本地漏洞库之后可以进行一个管理,二可以查看资产漏洞的信息。
配置核查 :行为分析里面三种与资产相关的配置信息,包含弱口令。明文。密码泄露。风险带你看暴露,根据同一个资产统计出三种配置类型综合展示。
补天漏洞:配合补天平台。
#分析中心-报告报表
包括快速报表,周期报表,报表模板
快速报表:就是对导出的信息一个快速的报表,我们可以自己新建去选择类型统计,进行导出
周期报表:选择周期性或立即生成天眼的安全感知报告,里面都有统计,定期模板类型的报表
报表模板,自定义一个模板,关注的信息
# 分析中心-更多
包括,安全服务,扩展程序,第三方日志
安全服务:提供告警,数据到此处,报表下载功能
扩展程序:添加插件
第三方日志:其他的平台进行一个手机,存储到分析平台的es当中,第三方等等。
#分析中心-重保
自定义黑ip离线导入,提前找好离线的黑ip,进行导入就ok。
重保演习主要为了护网事件所设定,用户可以自定义护网任务,根据用户所选择的资产组进 行重点关注。护网任务一共包含三个阶段:备战阶段、实战阶段、战后任务列表。
[自定义黑 IP] 可通过本地录入和离线导入两 种方式导入黑 IP。其中本地录入支持手动添加黑 IP 和从本地批量上传黑 IP 两种方式离线导入 方式数据导出和离线导入两种模作。若未安装或激活黑 P 插件,点击[导出统计数据] 按钒,则 会跳转至扩展程序配置页面:若已安装并激活黑 IP 插件,点击[导出统计数据] 按钮,则跳转至 [扩展程序] ->[告警分析]页面
导入这些ip就会对这些ip产生告警,并展示出来。
分析平台也有全区导航。
#分析平台-系统管理
包含了基础配置,联动管理,审计管理,规则管理,设备管理。
系统升级,威胁区别升级,漏洞情报导入,自行导入。