数据统计&筛选
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择终端安全防护中心 > 威胁事件 。
2. 在威胁事件统计页面,支持查看威胁事件发生趋势,同时会按照钓鱼、勒索、横移进行场景化数据统计。
①支持时间段选择:今天、近7天、近30天以及自由选择时间查询。
②单击事件数据信息,可按统计数据筛选。
③单击导出,导出日志信息。
批量处理调查状态
某个事件调整:单击调查状态
,可以调整事件调查状态为新事件、调查中、已完成。
批量调整:支持勾选多个威胁事件,批量处理事件调查状态为新事件、调查中、已完成。
事件关联告警和处置
1. 单击事件名称右侧的
以展开威胁事件并展示该事件关联的告警。单击威胁事件的处置,可查看该事件下所有可处置的证据。
2. 在处置页面,单击配置,支持调整需要处置的证据/终端。
配置:可以对该证据下发隔离文件等处置任务。选择隔离文件/恢复隔离文件,单击确定。
终端:支持针对该事件关联的终端进行处置,选择隔离终端/恢复终端文件,单击确定。
威胁事件调查
在事件调查页面,用户可以看到整个威胁事件中证据、告警与终端的关联关系,通过溯源图可以梳理整个威胁事件的发生流程,进而对该事件进行研判以及处置。
1. 在威胁事件列表中,单击调查或事件名称,进入事件调查页面。
2. 在事件调查页面,单击详情查看复现攻击者行为链路。
3. 在溯源图中单击实体,左侧展示该实体的具体信息,包含基本信息以及关联信息(关联告警、资产)。
3.1 单击溯源查看溯源图,在溯源图中可以明确知悉恶意文件/进程创建的过程,进而帮助用户更好的确认威胁事件发生的关键,并针对性解决问题,溯源图中的每一个节点都可以单击展示该节点的详细信息。
3.2 查看恶意文件/进程创建的过程。
4. 切换页面到活动告警,支持查看该事件下所有的告警信息,单击具体的告警名称/ID可以查看告警详情。
5. 切换页面到资产,可以看到对应产生告警的终端,单击展开可以看到该终端下所有的告警信息,单击终端名称可看到对应的终端信息。
6. 切换页面到证据,可以看到当前威胁时间下所有的证据信息,按照全部、进程、文件、网络进行分类,单击名称可以看到该证据详情以及关联的资产和告警。