安全仪表板小部件
最后更新于:
本页面内容
概述
安全仪表板提供跨环境检测的集中视图。它帮助安全团队通过实时可视化数据和情境驱动的洞察来监控威胁、分析模式并优先处理事件。
仪表板小部件
小部件实时呈现检测引擎生成的检测结果、趋势及关键安全指标快照,助您主动评估威胁并快速响应。在包含图表的小部件中,点击严重性类型可从对应图表中移除该类数据。
安全分析仪表板共提供7个组件:
- 检测管道
- 策略检测
- 近期检测
- 按检测次数排序的前五名用户
- 按检测量排序的前五大日志来源
- 按检测次数排序的前10条规则
- 检测趋势
每个仪表板组件右上角均包含两个图标:
展开
:此选项可扩展小部件视图,提供更深入的相关洞察。
刷新
:点击刷新图标可即时重新评估实时日志数据并更新组件,确保您不会错过网络安全分析中任何关键发现的瞬间。
严重性颜色
安全事件(不包括检测规则前十名小部件)按严重程度分类,该分类在 规则配置所设定的严重性级别进行分类,通过不同颜色快速识别,具体如下:
- 红色- 危急:表示严重、高优先级的安防检测,需立即关注并采取可能的缓解措施。
- 橙色- 告警:表示中等级别的事件/事故,暗示潜在风险、可疑活动或策略违规,需要及时调查。
- 黄色- 需关注:表示需持续监控但无即时风险的低级别检测。
以下是安全分析仪表板所有组件的完整说明:
1. 检测流程图
检测管道可视化呈现检测与告警在三个严重性等级间的流转过程。它能快速概览被检测到的事件数量、分类情况,以及最终升级为可操作告警的流程。
A. 简洁组件视图
显示详情
- 检测:系统标记的事件总数。
- 告警:被标记为告警的检测事件数量。
- 严重性分布:显示三个严重性级别及其对应事件数量。
在安全分析中的作用
检测管道组件作为威胁监控的起点,可协助分析师:
- 快速识别当前所有威胁的严重性分布。
- 检测告警生成中的峰值或异常情况。
- 通过聚焦高优先级告警来优化调查流程。
B. 扩展视图
点击展开图标后显示的扩展视图,清晰呈现了跨严重性等级分布的规则。
2. 按战术分类的检测
战术检测图表将所有标记事件映射至MITRE ATT&CK框架,展示哪些网络攻击生命周期阶段(如初始访问、执行、权限提升)正 通过并发事件/活动启动。
A. 简洁小部件视图
显示的详细信息
- 战术分类:涵盖常见攻击阶段,如初始访问、侦察、 数据外泄及横向移动。
- 严重性叠加层:每种战术按三个严重性级别进行颜色编码。
在安全分析中的作用
该组件提供潜在攻击者行为的战术视图,协助团队:
- 分析并理解环境中的攻击模式和常用战术。
- 针对最常被攻击的阶段优先部署安全控制措施。
- 将检测规则与业界公认的攻击模型对齐,强化防御能力。
B. 扩展组件视图
- 点击展开图标后显示的扩展小部件视图,清晰呈现了跨严重性等级分布的规则。
- 点击代表检测次数的任意数据点,即可展开该特定规则严重性级别的数据表格,类似于四个组件的扩展视图。
3. 最近检测
"近期检测"小部件按时间顺序列出最近触发的事件,实现实时事件可见性。
A. 简洁小工具视图
显示的详细信息
- 规则名称:与触发检测相关的规则名称。
- 描述:检测事件的简要说明。例如"交互式登录——进程删除了系统备份"。
- 用户名:标识与事件/活动关联的账户用户名。
- 日志来源:指定事件的源设备或系统。
- MITRE ATT&CK映射:将检测关联至MITRE ATT&CK框架中的特定技术或战术。
- 时间戳:记录事件发生的精确日期和时间。
在安全分析中的作用
该组件作为实时威胁信息源,协助安全分析师:
- 快速检测并响应新兴威胁。
- 关联事件与特定用户及设备。
- 利用MITRE映射快速分级处理,掌握攻击本质。
B. 扩展小部件视图
- 点击展开图标后显示的扩展小部件视图,可更清晰地呈现最近检测到的详细信息。
- 点击此视图(或紧凑视图)中的任意规则,该规则的完整分析报表将如图所示滑出展开。
图5:安全分析仪表板中的近期检测分析 - 本分析包含以下内容:
- 概述选项卡:
- 描述-用于概括规则内容的文本字段(此处为空)。
- 时间-规则触发的精确时间戳。
- 严重性-指示规则触发的影响级别——此处为"严重"。
- 洞察部分-
- 涉及人员:触发规则时涉及的用户名。
- 位置:事件发生的设备或主机。
- 客户端IP:参与事件的客户端IP地址。
- MITRE ATT&CK:映射至已知的攻击者战术/技术。
- 标签:提供上下文信息的标识符
- 缓解措施部分-
- 缓解措施:推荐或记录的响应行动。
- 时间线标签页:将检测结果插入连续事件链中,在契合的上下文中呈现所有活动的全局视图。
图6:安全分析仪表盘中的近期检测分析 - 点击"详细信息"按钮将弹出包含该规则检测关联事件全部细节的面板。以下是提供的详细信息列表:
- 风险等级
- 消息
- 来源
- 远程设备IP
- 登录类型
- 进程 ID
- 操作系统类别
- 主机类型
- 登录ID
- 任务类别
- 成员组 SID
- 身份验证包名称
- 事件名称
- 设备
- GUID
- 登录过程
- 严重性
- 密钥长度
- 事件 ID
- ACTION_TAG
- 类型
- 呼叫者登录ID
- 用户名
- 安全标识
- 源端口号
- 域
- 概述选项卡:
4. 按检测次数排序的前五名用户
本图表以统计视角突出显示检测次数最高的五大用户账户,并按严重程度进行分类。
A. 简洁小部件视图
显示的详细信息
- 用户名:在x轴上显示排名前5位用户的账户用户名。
- 计数:纵轴显示每位用户的检测总次数。
- 严重性分布:堆叠柱状图可视化每个用户告警的三个严重性级别比例。
在安全分析中的作用
- 识别遭入侵账户或潜在内部威胁。
- 协助对高风险用户实施优先账户审计。
- 提供每位可疑用户的活动模式行为快照。
B. 扩展小部件视图
点击展开图标后显示的扩展小部件视图,清晰呈现了跨严重性等级分布的规则分布情况。
5. 按检测次数排序的前五大日志来源
此图表按贡献程度排序,展示对总检测数量贡献最大的设备或系统。
A. 简洁小部件视图
显示的详细信息
- 日志来源:在纵轴上指定原始设备或系统。
- 计数:X 轴上按日志源划分的检测次数。
- 严重性划分:图表中的条形图采用三种严重性等级的颜色编码,显示哪些设备正在生成不同严重程度的告警。
在安全分析中的作用:
- 突出显示最易受攻击或频繁遭受攻击的设备。
- 帮助您将设备强化工作重点放在潜在高风险系统上。
- 提供日志源健康状况与配置的洞察分析。
B. 扩展小部件视图
点击展开图标后显示的扩展小部件视图,清晰呈现了跨严重性等级分布的规则分布情况。
6. 规则检测前十名
此条形图根据触发检测的频率,对前10大检测规则进行排序。
A. 简洁小部件视图
显示的详细信息
- 规则名称:横轴包含诸如过度文件访问、重复操作或暴力破解等规则
- 计数:在纵轴上显示每条规则触发次数。
在安全分析中的作用
- 识别反复出现的威胁或常见触发因素。
- 协助优化检测规则以降低误报率。
- 提供数据以优化威胁狩猎和响应策略。
B. 扩展小部件视图
- 点击展开图标后显示的扩展小部件视图,清晰呈现了跨严重性等级分布的规则分布情况。
- 点击代表检测次数的任何数据条,即可展开该特定规则严重性级别的数据表,类似于四个组件的扩展视图。
7. 检测趋势
检测趋势图表 按严重程度分段,追踪随时间推移的检测活动。
A. 简洁小部件视图
显示的详细信息
- 时间:在 x 轴上显示按年或按月分布的检测计数。
- 计数:在纵轴上显示不同时间段的检测总数。
- 严重性趋势线:图表中独立的线条分别追踪基于三个严重性级别分类的检测情况。
在安全分析中的作用
- 有助于发现异常或活动突发激增的情况。
- 为事件分析提供历史背景。
- 辅助安全运营的容量与资源规划。
B. 扩展小部件视图
点击展开图标后显示的扩展小部件视图,清晰呈现了跨严重性等级分布的规则分布情况。
安全分析仪表板可用操作
此选项卡主要提供两项操作:
- 自定义时间范围:用于小部件形式的数据分析。
- 规则管理:查看规则管理模块。该模块作为Log360安全分析功能的核心,构建高效框架,引导SIEM(安全信息与事件管理)解决方案执行分析-识别-检测循环,协助您守护企业网络安全,并实施主动威胁检测与前瞻性威胁响应机制。
自定义时间范围
- 通过"安全"选项卡导航至安全分析仪表板,点击下图所示高亮区域任意位置。
图11:在安全分析仪表板中配置检测时间段 - 该操作将弹出日历视图,并提供预设时间范围供您选择。
- 您可:
- 选择所需时间段的起始日期和结束日期。
- 点击符合需求的预设时间段
- 点击"自定义范围",随后在下方输入框中输入数字,该数字代表您希望查看的过往天数数据。
- 点击应用。
- 操作完成后,您将看到安全分析仪表板会根据您选择的时间范围即时更新。
管理规则
- 通过“安全”选项卡导航至安全分析仪表板,点击下图所示的“管理规则”选项。
图12:安全选项卡中的管理规则按钮 - 系统将跳转至规则管理模块,该模块作为规则管理的核心枢纽,可实现高效的规则配置。
图13:通过安全选项卡进入规则管理模块
点击此处了解规则管理及配置方法。
仪表板自定义
安全分析选项卡本身无法通过安全选项卡进行自定义。产品中提供了与仪表板选项卡中的 检测概览子选项卡相同的子选项卡。
检测概览仪表板包含安全分析选项卡中的所有内容,同时允许您自定义仪表板及其中的小部件。
若需了解如何在主仪表板选项卡中 自定义检测概览仪表板,请参阅 仪表板视图 帮助文档。
另请参阅
本页面详细介绍了全部七个安全仪表板小部件、其紧凑视图与扩展视图,以及它们如何帮助您监控威胁、分析攻击者策略并识别高风险用户、规则和设备。