ngsoc使用指南

和威胁告警差不多。

ngsoc是以资产为核心，以安全事件为管理的关键流程，建立一套威胁检测，相应，预测，和持续监控分析，一体化的监控与相应平台。

和天眼的区别：会把天眼的告警，其他安全设备的告警，或者其他公司的设备；会把很多的设备的所有告警，没有告警就在ngsoc上建模去产生告警。把这些设备进行一个统一的告警管控。而天眼就只能看自己的流量。

威胁检测

 和天眼差不多，左边是筛选器，现在这个界面是普通检索状态。切换为高级检索

 我们可以导入插件，或者自己配置规则。

只支持三十天以内的。

ngsoc有一个特别重要的功能，可视化分析，带你一下会直接跳转到统计报表。

通过为度和对比计数值，去统计一些最产生特别多的一些告警，可以在这里做。比如可以唯独设置，选择告警名称，选择保存，对他进行一个计数，

上面各种图形表，就可以看到那种攻击类型比较多，还可以配置其他的，还有统计攻击ip，。

ngsoc也需要和其他平台进行一个联动，ngsoc和soc进行一个联动。

详情里面的内容

也支持解码。

这里看不是很全就点击切换格式 然后点击这个详情

 这个字段就很全了。

分析告警之前先去看他产生的规则，点开他的字段详细，ngsoc接了很多种设备，可能很多；所以告警会很复杂，先要分析他从那个设备过来。

比如上图天体网络探针就可能是天眼，如果是从waf过来的告警，就需要看告警有没有必要处理，有可能waf本身就自动做了封禁，或防火墙告警，就已经阻断好了。还有入侵防御软件也会进行阻断。

通过这个告警我们可以去看近期有没有发送同样类型的告警， 还有处置记录，看处置吗。

就可以变更他的状态

 扩展分析

 会和你看，攻击ip和源ip最近做了哪些事情，

相关告警

 这些都是意义一样的告警。

 筛选设备

高级模式用的比较多

 就可以添加条件，因为ngsoc接了很多的设备，我们就可以把web攻击流量和主机监控区分出来；把主机监控的数据ip那些数据ip做一个分类，

 这里就是假如具体的ip是1.1.1.1，这个条件就只看椒图的，之后我们就可以进行一个搜素，然后另存为，给他一个名称椒图主机监控。

 

 就会存到这个里面，下次点击就会自动搜索。

#重点还有分析中心的日志检索

 分为冷数据和热数据，日志检索对日志集中的检索分析的工具；通过日志定位，定位网络问题或其他问题，分为两种存储方式，冷数据和热数据。

热数据支持频繁访问，可以快速返回结果。30天以内的数据。存储与es当作，

冷知识支持低频访问，所有数据都在这里，需要慢慢查。

高级支持两种查询语法一种是sql一种（老师读的来森），ngsoc检索用快捷比较多

检索之前，选择好检索类型；然后输入框也是要选择

 然后自己输入等于什么信息

高级索引，选择和类型之后，就可以在输入框输入东西

 还可以进行模糊查询，不太会就可以去看他的介绍和语法之类的使用说明；

冷数据

可以弄一个搜索任务，还可以放到收藏夹里面下次快速的去搜索，然后还有一个历史记录。

监控岗的话还有工单 

 新建一个工单 

 责任人一定要选，就是要发的人。

还要说一下仪表盘

 

 对实时的告警数据监控，