安全仪表板小部件

最后更新于:

概述

安全仪表板提供跨环境检测的集中视图。它帮助安全团队通过实时可视化数据和情境驱动的洞察来监控威胁、分析模式并优先处理事件。

仪表板小部件

小部件实时呈现检测引擎生成的检测结果、趋势及关键安全指标快照,助您主动评估威胁并快速响应。在包含图表的小部件中,点击严重性类型可从对应图表中移除该类数据。

安全分析仪表板共提供7个组件:

  1. 检测管道
  2. 策略检测
  3. 近期检测
  4. 按检测次数排序的前五名用户
  5. 按检测量排序的前五大日志来源
  6. 按检测次数排序的前10条规则
  7. 检测趋势

每个仪表板组件右上角均包含两个图标:

展开 :此选项可扩展小部件视图,提供更深入的相关洞察。

刷新 :点击刷新图标可即时重新评估实时日志数据并更新组件,确保您不会错过网络安全分析中任何关键发现的瞬间。

严重性颜色

安全事件(不包括检测规则前十名小部件)按严重程度分类,该分类在 规则配置所设定的严重性级别进行分类,通过不同颜色快速识别,具体如下:

  • 红色- 危急:表示严重、高优先级的安防检测,需立即关注并采取可能的缓解措施。
  • 橙色- 告警:表示中等级别的事件/事故,暗示潜在风险、可疑活动或策略违规,需要及时调查。
  • 黄色- 需关注:表示需持续监控但无即时风险的低级别检测。

以下是安全分析仪表板所有组件的完整说明:

1. 检测流程图

检测管道可视化呈现检测告警在三个严重性等级间的流转过程。它能快速概览被检测到的事件数量、分类情况,以及最终升级为可操作告警的流程。

A. 简洁组件视图

Security dashboard widgets

显示详情

  • 检测:系统标记的事件总数。
  • 告警:被标记为告警的检测事件数量。
  • 严重性分布:显示三个严重性级别及其对应事件数量。

在安全分析中的作用

检测管道组件作为威胁监控的起点,可协助分析师:

  • 快速识别当前所有威胁的严重性分布。
  • 检测告警生成中的峰值或异常情况。
  • 通过聚焦高优先级告警来优化调查流程。

B. 扩展视图

Security dashboard widgets
图1:安全分析仪表板中的检测管道组件

点击展开图标后显示的扩展视图,清晰呈现了跨严重性等级分布的规则。

2. 按战术分类的检测

战术检测图表将所有标记事件映射至MITRE ATT&CK框架,展示哪些网络攻击生命周期阶段(如初始访问执行权限提升)正 通过并发事件/活动启动

A. 简洁小部件视图

Security dashboard widgets

显示的详细信息

  • 战术分类:涵盖常见攻击阶段,如初始访问侦察 数据外泄横向移动
  • 严重性叠加层:每种战术按三个严重性级别进行颜色编码。

在安全分析中的作用

该组件提供潜在攻击者行为的战术视图,协助团队:

  • 分析并理解环境中的攻击模式和常用战术。
  • 针对最常被攻击的阶段优先部署安全控制措施。
  • 将检测规则与业界公认的攻击模型对齐,强化防御能力。

B. 扩展组件视图

Security dashboard widgets
图2:安全分析仪表盘中的战术检测组件
  • 点击展开图标后显示的扩展小部件视图,清晰呈现了跨严重性等级分布的规则。
  • 点击代表检测次数的任意数据点,即可展开该特定规则严重性级别的数据表格,类似于四个组件的扩展视图。

3. 最近检测

"近期检测"小部件按时间顺序列出最近触发的事件,实现实时事件可见性。

A. 简洁小工具视图

Security dashboard widgets
图3:安全分析仪表板中的近期检测小部件

显示的详细信息

  • 规则名称:与触发检测相关的规则名称。
  • 描述:检测事件的简要说明。例如"交互式登录——进程删除了系统备份"。
  • 用户名:标识与事件/活动关联的账户用户名。
  • 日志来源:指定事件的源设备或系统。
  • MITRE ATT&CK映射:将检测关联至MITRE ATT&CK框架中的特定技术或战术。
  • 时间戳:记录事件发生的精确日期和时间。

在安全分析中的作用

该组件作为实时威胁信息源,协助安全分析师:

  • 快速检测并响应新兴威胁。
  • 关联事件与特定用户及设备。
  • 利用MITRE映射快速分级处理,掌握攻击本质。

B. 扩展小部件视图

Security dashboard widgets
图4:安全分析仪表板中的近期检测小部件
  • 点击展开图标后显示的扩展小部件视图,可更清晰地呈现最近检测到的详细信息。
  • 点击此视图(或紧凑视图)中的任意规则,该规则的完整分析报表将如图所示滑出展开。
    Security dashboard widgets
    图5:安全分析仪表板中的近期检测分析
  • 本分析包含以下内容:
    • 概述选项卡:
      • 描述-用于概括规则内容的文本字段(此处为空)。
      • 时间-规则触发的精确时间戳。
      • 严重性-指示规则触发的影响级别——此处为"严重"。
      • 洞察部分-
        • 涉及人员:触发规则时涉及的用户名。
        • 位置:事件发生的设备或主机。
        • 客户端IP:参与事件的客户端IP地址。
        • MITRE ATT&CK:映射至已知的攻击者战术/技术。
        • 标签:提供上下文信息的标识符
      • 缓解措施部分-
        • 缓解措施:推荐或记录的响应行动。
    • 时间线标签页:将检测结果插入连续事件链中,在契合的上下文中呈现所有活动的全局视图。
      Security dashboard widgets
      图6:安全分析仪表盘中的近期检测分析
    • 点击"详细信息"按钮将弹出包含该规则检测关联事件全部细节的面板。以下是提供的详细信息列表:
      • 风险等级
      • 消息
      • 来源
      • 远程设备IP
      • 登录类型
      • 进程 ID
      • 操作系统类别
      • 主机类型
      • 登录ID
      • 任务类别
      • 成员组 SID
      • 身份验证包名称
      • 事件名称
      • 设备
      • GUID
      • 登录过程
      • 严重性
      • 密钥长度
      • 事件 ID
      • ACTION_TAG
      • 类型
      • 呼叫者登录ID
      • 用户名
      • 安全标识
      • 源端口号

4. 按检测次数排序的前五名用户

本图表以统计视角突出显示检测次数最高的五大用户账户,并按严重程度进行分类。

A. 简洁小部件视图

Security dashboard widgets

显示的详细信息

  • 用户名:在x轴上显示排名前5位用户的账户用户名。
  • 计数:纵轴显示每位用户的检测总次数。
  • 严重性分布:堆叠柱状图可视化每个用户告警的三个严重性级别比例。

在安全分析中的作用

  • 识别遭入侵账户或潜在内部威胁。
  • 协助对高风险用户实施优先账户审计。
  • 提供每位可疑用户的活动模式行为快照。

B. 扩展小部件视图

Security dashboard widgets
图7:安全分析仪表板中的"检测量前五用户"组件

点击展开图标后显示的扩展小部件视图,清晰呈现了跨严重性等级分布的规则分布情况。

5. 按检测次数排序的前五大日志来源

此图表按贡献程度排序,展示对总检测数量贡献最大的设备或系统。

A. 简洁小部件视图

Security dashboard widgets

显示的详细信息

  • 日志来源:在纵轴上指定原始设备或系统。
  • 计数:X 轴上按日志源划分的检测次数。
  • 严重性划分:图表中的条形图采用三种严重性等级的颜色编码,显示哪些设备正在生成不同严重程度的告警。

在安全分析中的作用:

  • 突出显示最易受攻击或频繁遭受攻击的设备。
  • 帮助您将设备强化工作重点放在潜在高风险系统上。
  • 提供日志源健康状况与配置的洞察分析。

B. 扩展小部件视图

Security dashboard widgets
图8:安全分析仪表板中按检测次数排序的前五名日志源小部件

点击展开图标后显示的扩展小部件视图,清晰呈现了跨严重性等级分布的规则分布情况。

6. 规则检测前十名

此条形图根据触发检测的频率,对前10大检测规则进行排序。

A. 简洁小部件视图

Security dashboard widgets

显示的详细信息

  • 规则名称:横轴包含诸如过度文件访问重复操作暴力破解等规则
  • 计数:在纵轴上显示每条规则触发次数。

在安全分析中的作用

  • 识别反复出现的威胁或常见触发因素。
  • 协助优化检测规则以降低误报率。
  • 提供数据以优化威胁狩猎和响应策略。

B. 扩展小部件视图

Security dashboard widgets
图9:安全分析仪表板中按规则检测量排序的前十项
  • 点击展开图标后显示的扩展小部件视图,清晰呈现了跨严重性等级分布的规则分布情况。
  • 点击代表检测次数的任何数据条,即可展开该特定规则严重性级别的数据表,类似于四个组件的扩展视图。

检测趋势图表 按严重程度分段,追踪随时间推移的检测活动。

A. 简洁小部件视图

Security dashboard widgets

显示的详细信息

  • 时间:在 x 轴上显示按年或按月分布的检测计数。
  • 计数:在纵轴上显示不同时间段的检测总数。
  • 严重性趋势线:图表中独立的线条分别追踪基于三个严重性级别分类的检测情况。

在安全分析中的作用

  • 有助于发现异常或活动突发激增的情况。
  • 为事件分析提供历史背景。
  • 辅助安全运营的容量与资源规划。

B. 扩展小部件视图

Security dashboard widgets
图10:安全分析仪表板中的检测趋势小部件

点击展开图标后显示的扩展小部件视图,清晰呈现了跨严重性等级分布的规则分布情况。

安全分析仪表板可用操作

此选项卡主要提供两项操作:

  1. 自定义时间范围:用于小部件形式的数据分析。
  2. 规则管理:查看规则管理模块。该模块作为Log360安全分析功能的核心,构建高效框架,引导SIEM(安全信息与事件管理)解决方案执行分析-识别-检测循环,协助您守护企业网络安全,并实施主动威胁检测与前瞻性威胁响应机制。

自定义时间范围

  1. 通过"安全"选项卡导航至安全分析仪表板,点击下图所示高亮区域任意位置。
    Security dashboard widgets
    图11:在安全分析仪表板中配置检测时间段
  2. 该操作将弹出日历视图,并提供预设时间范围供您选择。
    Security dashboard widgets
  3. 您可:
    • 选择所需时间段的起始日期和结束日期。
    • 点击符合需求的预设时间段
    • 点击"自定义范围",随后在下方输入框中输入数字,该数字代表您希望查看的过往天数数据。
  4. 点击应用
  5. 操作完成后,您将看到安全分析仪表板会根据您选择的时间范围即时更新。

管理规则

  1. 通过“安全”选项卡导航至安全分析仪表板,点击下图所示的“管理规则”选项。
    Security dashboard widgets
    图12:安全选项卡中的管理规则按钮
  2. 系统将跳转至规则管理模块,该模块作为规则管理的核心枢纽,可实现高效的规则配置。
    Security dashboard widgets
    图13:通过安全选项卡进入规则管理模块

点击此处了解规则管理及配置方法。

仪表板自定义

安全分析选项卡本身无法通过安全选项卡进行自定义。产品中提供了与仪表板选项卡中的 检测概览子选项卡相同的子选项卡。

检测概览仪表板包含安全分析选项卡中的所有内容,同时允许您自定义仪表板及其中的小部件。

若需了解如何在主仪表板选项卡中 自定义检测概览仪表板,请参阅 仪表板视图 帮助文档。

另请参阅

本页面详细介绍了全部七个安全仪表板小部件、其紧凑视图与扩展视图,以及它们如何帮助您监控威胁、分析攻击者策略并识别高风险用户、规则和设备。