预定义标签页和小部件

最后更新于:

本页内容

概述

Log360 仪表板通过图表提供近乎实时的安全相关数据视图。它能帮助您识别异常情况、分析威胁与攻击模式,并一目了然地掌握日志趋势。仪表板采用标签页式布局,每个标签页包含展示特定安全信息的小工具。本指南将阐述各仪表板标签页的功能,并说明小工具如何可视化关键安全数据。

仪表板标签页:

仪表板默认包含以下子标签页:

Predefined tabs and widgets
图1:导航至仪表板

每个标签页包含多个小部件。

事件概览

该标签页展示产品控制台监控的各类关键事件概览。此仪表板中的小部件可深入分析指定时间段内网络中产生的各类关键事件。

事件概览标签页包含以下组件:

小部件名称 功能 小部件图像
所有事件 此小部件显示SIEM模块在指定时间范围内收集的事件/日志总数。
Windows事件 该小部件展示SIEM模块在选定时间段内收集的基于Windows的事件总数。此外,饼图将Windows事件细分为错误事件、故障事件和警告事件。成功/信息事件经过过滤不予显示。
Syslog事件 此小部件显示在指定时间段内收集的Syslog事件总数。饼图将Syslog事件细分为警告、错误和严重事件。
所有设备 此小部件统计所有已启用且正在收集日志数据的设备数量。若所有日志均成功收集,角落的服务器图标将显示绿色勾号;警告图标则表示部分设备未正常收集日志。该小部件还提供"查看所有设备"链接。 点击该链接将跳转至设备仪表板页面,提供各设备的详细信息。点击"所有设备"可进入"设备"标签页,在此可创建新的计划报表列表
日志趋势 该组件展示SIEM模块摄入的所有事件/日志的时序计数趋势。X轴代表时间范围,基于您选择的日历区间。若选择小于24小时的时间范围,图表将呈现每小时日志趋势数据。Y轴代表事件计数。
前五名设备 该小部件展示基于事件计数排名前五的设备。
近期告警 该小部件展示指定时间范围内最近的50条告警。
安全事件 此小部件显示各种安全事件的摘要,例如登录、帐户登录、帐户管理和对象访问。
Windows 严重性事件 此小部件显示的图表中,X 轴代表 Windows 事件的严重性,Y 轴代表事件计数。
Syslog 严重性事件 此小部件显示的图表中,X轴代表Syslog事件的严重程度,Y轴代表事件数量。
文件完整性监控前五事件 此小工具呈现一个三维图表,根据日志计数显示前五名文件服务器的详细信息。每行包含各类基于文件事件的附加数据。
应用程序事件 该小部件通过饼图展示基于事件数量的十大应用程序(如IIS、DHCP等)。

网络概览

该选项卡通过生成图形化报表,提供各类网络相关事件的概览。仪表板中的小部件可深入分析指定时间段内网络中产生的各类关键事件。

网络概览标签页包含以下组件:

小部件名称 功能 小部件图像
所有事件 该小部件呈现SIEM模块在指定时间段内收集的网络事件总数。网络事件指从防火墙、交换机、路由器等网络设备收集的事件。
允许连接数 此小部件显示网络设备允许的所有连接数量。饼图突出显示在指定时间内网络中发生的总连接数中允许的连接比例。
被拒绝的连接 此小部件显示网络设备拒绝的所有连接数量。饼图突出显示在指定时间内网络中发生的总连接数中被拒绝的连接比例。
网络设备 此小部件提供用于监控的网络设备总数。

安全概览

该选项卡提供关键安全事件的监控概览。仪表板中的小工具可深入分析指定时间段内网络中产生的各类关键事件。

安全概览选项卡包含以下组件:

小部件名称 功能 小工具图像
关联事件 此小部件显示通过SIEM模块关联引擎检测到的事件数量。
检测到的威胁 此小部件显示由SIEM模块识别为威胁的威胁源日志。这些日志是根据预定义检测规则选取的。
漏洞 此小部件显示漏洞扫描器检测到的漏洞总数,其数据正被导入SIEM模块。
IDS/IPS 此小部件呈现选定时间段内IDS/IPS事件的总计数。
威胁源威胁 此小部件显示选定时间段内来自配置威胁源(如赛门铁克、McAfee、Malwarebytes等)的威胁总数。
告警计数概览 此小部件提供每个配置告警配置文件的概览。X轴表示告警配置文件,Y轴表示计数。
顶级网络攻击(IPS/IDS) 该小部件包含一个基于时间的IDS/IPS事件趋势图。X轴代表时间范围(基于您选择的日历范围),Y轴代表事件数量,Z轴代表IDS/IPS事件类型。根据事件数量显示前10大事件。
近期识别威胁 该组件按日历范围显示最近50个威胁事件。
近期关联事件 该组件类似于告警计数审查功能,提供近期关联事件的概览。X轴表示关联规则,Y轴表示事件数量。
按威胁来源划分的受影响终端设备前十名 此小部件展示威胁源(赛门铁克、迈克菲等)检测到的威胁中受影响最严重的5个终端设备。
漏洞扫描器检测到的顶级漏洞 该小部件包含一个饼图,展示漏洞扫描器在终端设备中检测到的前5大漏洞(基于事件数量选取)。

Microsoft 365

该选项卡汇总了各类Microsoft 365服务的活动与安全事件。仪表板中的组件可帮助您监控Exchange Online、SharePoint、Teams、OneDrive及Entra ID平台的登录活动、角色分配、服务使用情况及活动趋势。

M365概览选项卡包含以下组件:

小部件名称 功能 小工具图像
基于服务的M365日志趋势 显示选定时间段内从M365服务(Microsoft Entra ID、Exchange Online、Teams、OneDrive和SharePoint)接收的日志总数。X轴表示时间范围,Y轴表示日志计数。
按错误分类的登录失败 按错误类型分类显示登录失败尝试及其计数。X轴代表失败原因,Y轴代表计数。
按位置划分的登录活动 通过世界地图展示按国家划分的用户登录活动,突出显示登录的地理分布。每个圆圈对应一次登录计数。
顶级角色分配 列出组织内分配最频繁的角色,例如全局管理员。
按用户划分的登录失败情况 显示选定时间范围内每位用户的登录失败次数。X轴代表用户,Y轴代表失败次数。
邮箱权限变更 显示用户执行的邮箱权限修改操作(仅限添加和移除操作)。X轴代表操作类型,Y轴代表操作次数。
Entra ID 主要操作 展示 Entra ID 中最常见的操作,如登录活动、导入、同步、更新用户和停用账户。X 轴代表操作类型,Y 轴代表次数。
近期授权的应用程序 显示用户或管理员近期授予权限的应用程序。X轴代表应用名称,Y轴代表权限授予次数。
Exchange Online 主要操作 列出Exchange Online中执行次数最多的操作。X轴代表操作类型,Y轴代表操作次数。
SharePoint 顶级活动 通过饼图展示SharePoint热门操作,包括组添加、搜索查询、列表更新及站点创建等。
Teams 热门操作 通过饼图展示 Teams 主要操作,包括成员添加/移除、团队创建、应用添加和标签添加。

事件概览

该选项卡展示各类安全事件概览。仪表板中的小部件可提供指定时间段内网络中检测到的各类关键事件的洞察信息。

事件概览选项卡包含以下小部件:

小部件名称 功能 小部件图像
所有事件(历史数据) 该组件按状态分类显示截至当前累计事件总量:开放中(蓝色)、处理中(橙色)、已关闭(绿色)。
活跃事件(历史数据) 此小部件展示当前处于"已开启"或"处理中"状态的事件,按严重程度分类:需关注(蓝色)、故障(橙色)、严重(红色)。
平均解决时间(总体) 此小工具显示从事件创建到解决的平均耗时。
未分配事件(历史数据) 此小部件显示尚未分配给任何用户的事件数量。
逾期事件(历史数据) 此小部件显示已超过预期解决日期的事件数量。这有助于追踪逾期未解决的任务。
逾期事件(历史数据) 此小部件以表格形式列出逾期事件名称及其逾期时长。
我的事件 - 活跃状态(历史数据) 此小工具显示当前用户被明确指派的活跃事件,并附带逾期详情。
近期事件(历史数据) 此小工具列出最近创建的50个事件,包含事件名称、负责人及时间戳。
前5名事件处理者(历史数据) 此小工具以条形图形式展示处理事件数量排名前5的用户(指派对象)。X轴代表指派对象,Y轴显示事件数量。
状态与严重性(历史数据) 此小部件通过条形图展示事件的状态(开放、处理中、已关闭)与严重性(关键、故障、需关注)。X轴代表状态与严重性,Y轴代表事件数量。
事件创建与解决对比 该图标以折线图形式展示事件创建量(黄色)与关闭量(绿色)随时间变化的对比。X轴表示时间,Y轴表示事件数量。
平均解决时间(历史数据) 此小部件以表格形式展示每位指派人员的平均解决时长。

威胁分析

该选项卡展示各类受监控威胁活动的概览。仪表板中的小部件可深入分析指定时间段内网络中识别出的各类关键威胁。

威胁分析标签页包含以下组件:

小部件名称 功能 小部件图像
恶意事件 此小部件显示根据配置威胁源(如 STIX/TAXII 和 ATA 威胁服务器)提供的威胁情报标记为恶意的事件总数。
供应链漏洞 此小部件显示归因于第三方应用程序或供应商的漏洞数量,有助于评估通过供应链暴露的外部风险。
按类别划分的漏洞 该组件按泄露数据类型(如凭证泄露或个人信息泄露)分类展示事件,揭示被窃取数据的本质特征。
按源类型划分的泄露事件 该组件按漏洞来源呈现数据泄露事件,来源可分为僵尸网络或漏洞两类。僵尸网络指恶意软件感染引发的泄露事件,漏洞则指通过未知渠道在暗网暴露的数据。
数据泄露事件趋势 该小工具以时间轴图表形式展示选定日期范围内僵尸网络及数据泄露相关事件的发生频率。X轴代表时间范围(基于您选择的日历区间)。若选择小于24小时的时间范围,图表将呈现每小时日志趋势数据。Y轴代表事件计数。
供应链泄露概览 此图标以饼图形式展示受影响第三方服务或供应商的漏洞分布情况,揭示哪些外部平台最易遭受攻击。
近期威胁 该组件实时推送近期威胁告警,数据源自暗网情报与恶意事件检测。
僵尸网络感染概览 该小工具通过饼图汇总按恶意软件类型划分的僵尸网络相关活动。
暗网概览 该小工具通过饼图展示从各类暗网来源检测到的数据泄露情况。
暗网泄露数据 此图标展示暗网泄露数据量的柱状图。X轴代表遭入侵的源域名,Y轴显示泄露数据实例数量。图中区分个人信息泄露(橙色)与凭证泄露(红色)。
僵尸网络感染导致的数据泄露 此图标展示因僵尸网络恶意软件导致的数据泄露汇总柱状图。X轴显示恶意软件类型,Y轴表示泄露凭证数量。
最常遭受攻击的主机 此图标展示条形图,列出最常被攻击的目标设备。X轴代表IP地址或设备名称,Y轴显示事件数量。
按类别划分的威胁 该组件通过条形图展示恶意事件,并按威胁类别进行对比。X轴列出威胁类型(如网络钓鱼、僵尸网络),Y轴则呈现事件数量,从而揭示哪些威胁类型发生频率最高。

检测概览

该选项卡集中展示环境中的检测情况,帮助安全团队通过实时可视化数据和情境驱动的洞察来监控威胁、分析模式并优先处理事件。

小工具名称 功能 小部件图像
所有规则 - 检测 显示选定时间段内所有规则触发的检测总数。
关键规则 - 检测 显示在选定时间段内,被归类为关键的规则触发的检测总数。
故障规则 - 检测 显示在选定时间段内被归类为故障的规则触发的检测总数。
注意规则 - 检测 显示在选定时间段内,被归类为"需关注"的规则触发的检测总数。
近期检测 列出最近触发的检测事件,并包含规则名称、用户名、设备名称及映射的MITRE ATT&CK战术等详细信息。
按检测次数排序的前五名用户 展示触发检测次数最多的前五名用户,并按严重程度进一步分类。
按检测数排序的前五日志源 按检测数量显示前五名日志来源,并按严重程度分类。
规则触发检测量前十名 突出显示选定时间范围内触发最频繁的十条规则。X轴代表规则标识符,Y轴 显示检测次数。
检测趋势 提供基于时间的检测视图。X轴代表所选时间段,Y轴显示按严重程度分类的检测次数。
战术检测分布 以雷达图形式展示关联至MITRE ATT&CK战术(如凭证访问、持久驻留、防御规避等)的检测结果。可按严重程度进行筛选。
检测管道 按严重程度汇总检测结果,并显示每种严重程度类型触发的告警数量。

AD审核

该选项卡提供Active Directory登录活动、账户变更、组策略修改及密码重置的概览。仪表板中的小工具可协助管理员检测登录异常、追踪对象修改并监控AD环境中的账户锁定情况。

AD 审计选项卡包含以下小部件:

小部件名称 功能 小部件图片
顶级用户登录失败 显示在选定时间范围内登录失败次数最多的用户。X轴代表用户名,Y轴代表登录失败次数。
账户管理 跨用户、组和计算机追踪账户相关操作。包括账户创建、删除和修改。X轴代表对象类型(用户、组、计算机),Y轴代表事件计数。
登录失败 - 错误代码 按错误类型(如用户名无效、密码无效)分类统计登录失败事件。X轴表示错误代码,Y轴表示事件数量。
登录高峰时段使用情况 按时间段展示登录活动趋势。X轴代表每日小时,Y轴代表登录次数。
账户被锁定用户 显示在选定时间段内因多次登录失败导致账户被锁定的用户。
密码变更/设置用户 追踪用户密码重置及修改尝试。X轴代表操作类型(密码设置、密码修改尝试),Y轴代表用户数量。
ADFS登录历史记录 显示Active Directory联合身份验证服务(ADFS)的登录活动。X轴表示每日小时,Y轴表示登录次数,分为成功和失败尝试两类。

除上述功能外,还提供多种预定义模板用于专项监控。选择 图标并点击"添加选项卡"即可查看可用选项卡列表。

Predefined tabs and widgets
图2:查看预定义标签页

另请参阅

本页介绍了Log360中预定义的仪表板选项卡和小工具。若需了解如何自定义仪表板及管理小工具,请参阅以下文档: