天眼使用指南-威胁文件鉴定器

包含了静态检测，

 主要负责对传感器，手东提交url等多种数据来源的一些通道，过来的一些样本进行检测。

检测过程：威胁情报的匹配，沙箱检测。及时发现恶意行为和文件进行告警，传给天眼分析平台统一的分析。提供威胁文件鉴定器进行一种高级的威胁检测，可以接受大量来自传感器pe和非pe的文件，使用静态，动态检测，沙箱检测等一些无签名的检测方法，传感器无法检测的，会一报告的形式去看。

图中就用一些静态检测的引擎。

 最下面综合打分在90以上，就是恶意文件

#检测能力

基本功能

 web登录页面

 #进程监控

 展示了图中所示的消息，进程信息，异常行为，状态啊等等，消息提示展示，告警

#状态监控

 分为状态监控，文件告警，提交检测，样本查询，策略管理，系统配置六个模块

监控这里展示了一些送检文件数，告警文件数，受攻击ip，邮件告警事件，的数目点击就可以详细查看。

#态势图

 渠道文件统计：发过来的样本有多少高危中危低危都有统计

#设备使用状态监控

cpu利用率，内存占用，数据磁盘展示；还有其他攻击信息的展示。

#文件告警

 如图中展示

#提交检查-本地文件提交

用户提交文件到分析平台去检查。如图中所示有模式选择等等

#提交检测-ftp

 批量提交文件，远程提交，通过配置检测选项，是文件威胁鉴定器可以从ftp指定路径直接获取文件，会进行检测。

#提交检测，smb文件

 和上一个一样不过是从smb指定路径获取。

#提交检测记录

 手动提交文件的结果展示，和如图中的功能。

#样本查询

 提供了查询，并展示文件的接受事件，文件md5，静态检测的结果，操作页面的跳转信息，查询到样本可以跳转到文件告警页面，或提交检测页面等进一步查看文件检测信息，

#检测策略

 默认就可以。

#系统配置-常规配置

如图所示的内容展示，到达自己设置的值就会相应的提示。

#系统配置-系统时间 如图所示

#系统配置-网络管理

可以配置图中展示的东西

 这个是代理服务器，默认是关闭的，想开启的话就自己去开和配置。

系统配置-安全性配置

 去配置一些平台的安全性，图中所示那些，

#系统配置-用户配置

 如图中所示。

#系统配置-审计日志

 记录当前管理的配置操作。

#系统配置-证书导入系统授权管理功能，包括系统信息的导出更新操作，等等。

#系统配置-设备升级

 如图所示。

设备升级，

 威胁情报升级需要上传文件包去升级，升级日志，可以查看升级的操作。

建议自动更新。

#系统配置-系统维护

 开关机，系统日志的导出，调试日志，包含了引擎工作的状态；

配置syslog的传输方式，可以理解为syslog日志外发的模式与其他设备进行一个联动， snmb模式两个也都是默认关闭的，如图提示。