03-场景化分析
本章节下载: 03-场景化分析 (134.61 KB)
场景化分析
本章包含如下内容:
· 挖矿风险分析
· 勒索感染分析
· C&C外联分析
· 恶意文件分析
· 热点事件分析
· 知识图谱分析
· 威胁情报分析
该功能用于分析和展示网络中发生的挖矿事件,仅统计处理中和未处理事件。
1. 选择“分析中心 > 场景化分析 > 挖矿风险分析”进入挖矿风险分析页面。
2. 选择统计周期,默认展示最近30天的统计数据。
· 存在挖矿的风险资产和用户
展示网络中受挖矿病毒影响的资产、用户总数。
· 挖矿阶段分布图
展示指定统计周期内,各个挖矿阶段的主机个数。
· 挖矿矿池分布图
展示指定统计周期内,主机访问的矿池分布情况。
· 挖矿币种分布图
展示指定统计周期内,主机挖矿的币种分布情况。
· 挖矿主机列表
展示指定统计周期内,受挖矿病毒影响的主机信息。单击操作列的按钮查看主机发生的挖矿事件明细,单击<导出>按钮可将分析数据导出到excel表格,下载到本地进行预览。
挖矿主机列表和存在挖矿风险的资产数、存在挖矿风险的用户数、挖矿阶段分布图、挖矿矿池分布、挖矿币种分布联动,单击其中某项,该列表只展示与此项相关的数据。例如,单击资产数,挖矿主机列表将只展示存在挖矿风险的资产信息。
该功能用于分析和展示网络中发生的勒索病毒感染事件,仅统计处理中和未处理事件。
1. 选择“分析中心 > 场景化分析 > 勒索感染分析”进入勒索感染分析页面。
2. 选择统计周期,默认展示最近30天的统计数据。
· 存在勒索的风险资产和用户
展示网络中感染勒索病毒的资产、用户总数。
· 访问关系图
展示统计周期内,网络中勒索类事件所涉及的内网主机与外网主机、恶意域名之间的访问关系。当访问关系较多或只需查看某个主机的访问关系时,在“源”或“目的”查询框中输入查询条件,然后单击<查询>,页面将只展示该主机的访问关系,便于查看。
勒索感染主机访问关系图中,最多只展示10个源节点的访问关系,当源节点访问的目的节点超过100个时,超过的部分访问关系不展示。
C&C外联事件是指内网主机与外网C&C服务器建立连接关系后,外网C&C服务器可以控制内网主机进行攻击活动,如窃取机密文件,操控内网主机攻击其他资产等。C&C外联分析功能从多个维度统计并展示用户网络中发生的C&C外联事件,以便管理员快速定位异常主机,排除风险。
1. 选择“分析中心 > 场景化分析> C&C外联分析”进入C&C外联分析页面。
2. 选择统计周期,默认展示最近30天的统计数据。
· 存在C&C主机通信的风险资产和用户
展示内网存在C&C域名通信的资产、用户总数。
· C&C外联安全事件发生次数趋势图
通过折线图展示统计周期内,C&C外联安全事件发生次数趋势。
· 风险危害及处置建议
展示C&C外联事件对网络安全产生的威胁及建议处理方案。
· C&C主机
展示统计周期内,内网主机访问过的C&C主机及其所属地区。支持按C&C主机IP地址和域名称检索C&C外联事件分析数据,同时提供导出功能,用户可将分析数据导出到excel表格,下载到本地进行预览。
点击内部影响主机数列的数字将展示受影响的内网主机信息;点击操作列按钮可进入该C&C主机的安全事件明细页面,查看该统计周期内与该C&C主机相关的安全事件详情。
· 源主机
展示统计周期内,内网资产和用户访问过的C&C主机及连接C&C主机次数。支持按资产名称和用户名称检索C&C外联事件分析数据,同时提供导出功能,用户可将分析数据导出到excel表格,下载到本地进行预览。
点击C&C主机列的数字将展示该主机连接过的C&C主机的IOC情报信息;点击操作列按钮可进入该主机的安全事件明细页面,查看该统计周期内与该主机相关的安全事件详情。
攻击者通过传播恶意文件来感染内网主机,从而控制内网主机来进行攻击活动,如盗取敏感数据。 恶意文件分析功能用于统计并展示网络中存在的恶意文件及被感染主机信息,以便管理员快速定位异常主机,排除风险。
1. 选择“分析中心 > 场景化分析 > 恶意文件分析”进入恶意文件分析页面。
2. 选择统计周期,默认展示最近30天的统计数据。
· 存在恶意文件个数
展示统计周期内,网络中存在的恶意文件总数。
· 发现次数最多恶意文件Top5
展示发现次数最多前5个恶意文件信息。点击感染主机数列的数字将展示被感染主机信息。
· 风险危害及处置建议
展示恶意文件攻击事件对网络安全产生的威胁及建议处理方案。
· 感染主机详情
通过列表展示统计周期内,感染恶意文件的主机信息。支持按资产名称和用户名称检索感染主机,同时提供导出功能,用户可将分析数据导出到excel表格,下载到本地进行预览。
点击恶意文件数列的数字将展示恶意文件信息;点击感染内网主机数列的数字将展示被感染的内网主机IP; 点击操作列按钮可进入该主机的安全事件明细页面,查看该统计周期内与该主机相关的安全事件详情。
该功能能够根据管理员配置的热点事件关键字,从海量的日志中匹配这些关键字,并将满足条件的日志进行聚合分析后生成热点事件。热点事件分析主要应用在企业、教育行业等场景中,用于分析并展示企业内部员工、校内师生对某些事件的关注情况。
· 本功能仅在安全威胁发现与运维管理平台增强版中支持。
· 默认租户下的用户最多只能新增10个热点事件;自定义租户下的用户最多只能新增5个热点事件。
· 删除热点事件后,该事件的分析数据也将被删除,请谨慎操作。
· 支持按时间段查询热点事件分析详情,仅支持查询最近30天的分析数据。
1. 选择“分析中心 > 场景化分析 > 热点事件分析”进入热点事件页面。
2. 单击<新增>按钮进入新增热点事件页面,配置相关参数后,单击<确认>按钮完成操作。
3.
单击按钮进入编辑热点事件页面,修改相关参数后单击<确认>按钮完成操作。
4.
单击按钮进入热点事件分析详情页面,查看用户对该事件的关注情况。单击
按钮查看用户行为详情及原始日志信息。
5.
选中一个或多个热点事件,单击<删除>按钮可批量删除选中的热点事件,或操作列的按钮可删除一个热点事件。
· 热点事件名称:唯一标识一个热点事件,不可重复 。
· 热点事件描述:热点事件的说明信息,合理的描述信息有利于管理员快速了解和识别该热点事件。
· 关键字:热点事件的匹配关键字,一个热点事件最多支持配置50个关键字。关键字支持单个添加或批量导入,选择批量导入时,请先下载导入模板,按模板要求填写关键字信息后再导入。
· 描述:关键字的说明信息。
该功能通过实时计算用户网络中发生的安全事件与各类大规模网络安全事件的相似程度,从而识别蠕虫病毒、僵尸网络、APT攻击等深度威胁,同时提供攻击源、疑似失陷资产、举证日志等关键信息,帮助管理员快速定位内网隐患、阻断攻击源头。
1. 选择“分析中心 > 场景化分析 > 知识图谱分析”进入知识图谱分析页面。
2. 选择统计周期,默认展示最近30天的威胁概览。
3. 单击某类威胁图标,查看该威胁图谱及威胁详情。
· 威胁概览
展示统计周期内,网络中存在的各类威胁,单击某类威胁图标,查看该威胁图谱及威胁详情,并提供操作面板对图谱进行控制,包括图谱自动布局、手动拖拽、聚集模式查看,是否显示图谱中的节点IP,节点间连线文字。
· 威胁详情
展示统计周期内,统计各类威胁影响的节点、攻击链、攻击源、攻击跳板、攻击目标等关键信息,并举证原始日志,支持导出威胁详情。
该功能用于分析和展示威胁情报命中情况。
1. 选择“分析中心 > 场景化分析 > 威胁情报分析”进入威胁情报分析页面。
2. 选择统计周期,默认展示最近30天的统计数据。
· 威胁情报命中总览
展示指定统计周期内,IP情报、域名情报、URL情报、MD5情报的命中次数。
· 威胁类型Top10
展示指定统计周期内,IP情报、域名情报、URL情报、MD5情报中命中次数Top10的情报及其命中次数,选择不同页签可查看对应情报类型中命中次数Top10的情报。
· 活跃威胁情报Top20
从确信度、影响资产数、影响用户数、命中次数等方面对情报进行综合分析,并展示指定统计周期内,排名前20的情报。同时,支持将情报加入白名单,加入白名单后,情报不再生效,原来匹配成功的数据(如安全事件、风险资产等)也不再展示。
· 威胁情报命中查询
通过情报IOC查询情报的命中情况。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!