《網(wǎng)絡安全設(shè)備原理與應用》 課件 22-25安全感知平臺功能說明

安全感知功能說明-資產(chǎn)和報告中心了解資產(chǎn)中心的資產(chǎn)感知和脆弱性感知了解報告中心的安全風險報告和安全告警熟悉聯(lián)動響應的方式教學目標資產(chǎn)中心報告中心聯(lián)動響應目錄資產(chǎn)中心資產(chǎn)感知資產(chǎn)識別目是STA探針產(chǎn)品的一個重要功能，目的旨在幫助用戶梳理資產(chǎn)，識別風險資產(chǎn)（如影子資產(chǎn)），為攻擊檢測提供輔助等。目前探針主要使用被動識別以及主動識別進行資產(chǎn)識別，被動識別主要根據(jù)網(wǎng)絡流量鏡像到探針，探針根據(jù)鏡像流量進行內(nèi)網(wǎng)識別，內(nèi)網(wǎng)資產(chǎn)梳理；主動識別是探針進行發(fā)包主動探測內(nèi)網(wǎng)資產(chǎn)，再進行數(shù)據(jù)匯總與分析。平臺識別到的資產(chǎn)將定義為內(nèi)網(wǎng)資產(chǎn)，在為后續(xù)識別橫向、外連、外部威脅或訪問關(guān)系定義方向，需要事先定義好內(nèi)部IP組或者分支IP范圍。資產(chǎn)中心資產(chǎn)感知界面資產(chǎn)中心資產(chǎn)感知----受監(jiān)控內(nèi)部IP組定義內(nèi)網(wǎng)的受監(jiān)控IP范圍，用于平臺更精準的識別出內(nèi)網(wǎng)資產(chǎn)，當出現(xiàn)需要修改IP歸屬地時，也可以使用互聯(lián)單位IP功能進行配置。資產(chǎn)中心資產(chǎn)感知----業(yè)務/服務器業(yè)務/服務器與終端，是在配置完成受監(jiān)控內(nèi)部IP組后，對應IP范圍的IP按照IP屬性會自動匹配到業(yè)務或者終端中。資產(chǎn)中心資產(chǎn)感知----分支當用戶有分支單位時，可以通過IP范圍以及設(shè)備模式配置分支信息。資產(chǎn)中心資產(chǎn)感知----安全域安全域是將內(nèi)網(wǎng)劃分為多個區(qū)域，檢測每個區(qū)域的安全情況，用于分析區(qū)域的安全狀況，加強薄弱區(qū)域的安全建設(shè)。資產(chǎn)中心脆弱性感知脆弱性總覽：平臺可以通過STA/AF/云眼/云鏡以及第三方設(shè)備識別出來的漏洞，收集上來進行匯總展示。資產(chǎn)中心脆弱性感知----弱密碼弱密碼/web明文傳輸，可以檢測出當前網(wǎng)絡中使用的弱密碼，以及web業(yè)務使用http協(xié)議將用戶名/密碼通過明文進行傳輸。資產(chǎn)中心脆弱性感知----配置風險SIP可通過流量檢測到當前業(yè)務系統(tǒng)開放的風險端口以及授權(quán)配置不當?shù)那闆r。資產(chǎn)中心報告中心聯(lián)動響應目錄報告中心報告中心包括兩部分：安全風險報告：包括自動生成的預設(shè)報告以及手動導出的報告，也可以訂閱報告，用于匯報，安全運維等方面。安全告警：當檢測到安全事件時，會通過郵件或者短信的方式發(fā)送告警信息給管理員。報告中心安全告警配置策略后，當平臺檢測到對應的安全事件，可向管理員發(fā)送告警郵箱或短信。資產(chǎn)中心報告中心聯(lián)動響應目錄聯(lián)動響應聯(lián)動響應功能的引入：

大家都知道SIP只做為安全事件的檢測，無法對檢測到的安全問題進行閉環(huán)。當前的兩類安全問題閉環(huán)方式。1、MDR服務，通過購買安全服務，由安服人員對安全問題進行處置閉環(huán)（培訓中不進行說明）。2、通過與深信服其它產(chǎn)品進行聯(lián)動，如AF/EDR等，在SIP上下發(fā)策略對問題進行處置閉環(huán)。聯(lián)動響應分為三部分1、紅線：服務器發(fā)起威脅訪問，被AF或者STA審計到。2、綠線：AF或者STA將審計到的威脅訪問日志上傳到SIP，SIP上進行安全事件分析，識別到服務器存在風險。3、黃線：SIP上下發(fā)聯(lián)動策略到AF，通過AF的聯(lián)動封鎖對存在威脅的服務器進行攔截，減少威脅。EDR與AF數(shù)據(jù)流程類似。聯(lián)動響應聯(lián)動端口使用說明AC版本SIP版本功能實現(xiàn)方式端口AC11_XSIP2.5.8及以上版本同步用戶信息端口固定為1775、協(xié)議為UDP1775AC12.0R5版本+打上定制功能SIP2.5.12及以上版本聯(lián)動：彈窗提醒、凍結(jié)賬號https協(xié)議7433AC12.0R5版本+打上定制功能SIP3.0.9及以上版本聯(lián)動：彈窗提醒優(yōu)化（新增批量上網(wǎng)提醒、新增可配自動上網(wǎng)提醒）https協(xié)議7433AC12.0.7以及以上SIP3.0.30及以上版本聯(lián)動：上網(wǎng)提醒、凍結(jié)賬號https協(xié)議9998AC12.04以及以上SIP3.0.39及以上版本聯(lián)動：AC對接SIP心跳https協(xié)議SIP:7443AF版本SIP版本功能實現(xiàn)方式端口AF7.3.0SIP2.3及以上版本同步日志：同步安全日志https協(xié)議4430AF7.5.0SIP2.5.3及以上版本同步日志：同步安全日志https協(xié)議4430SIP2.5.8及以上版本聯(lián)動：封鎖聯(lián)動https協(xié)議7743AF8.0.2SIP3.0.2及以上版本同步日志：同步流量審計日志、同步cpu，內(nèi)存，磁盤網(wǎng)口流量，日志上報認證https協(xié)議4430AF8.0.2、AF8.0.5、AF8.0.6打上對應的定制包SIP3.0.2及以上版本聯(lián)動：聯(lián)動應用控制策略https協(xié)議7743AF8.0.8正式版本SIP3.0.2及以上版本聯(lián)動：聯(lián)動應用控制策略https協(xié)議7743AF8.0.19正式版本SIP3.0.37及以上版本同步日志：同步blob類型日志https協(xié)議4430聯(lián)動響應聯(lián)動端口使用說明EDR支持版本SIP支持版本功能實現(xiàn)方式端口EDR2.0SIP2.5.8以及以上同步日志包括：wellshell日志爆破日志僵尸網(wǎng)絡日志微隔離日志HTTPS請求7443EDR3.0.2SIP3.0.2以及以上同步日志包括：殺毒日志HTTPS請求7443SIP3.0.2以及以上聯(lián)動：主機隔離禁止出站禁止入站HTTPS請求443EDR3.2.9SIP3.0.18以及以上聯(lián)動：同步主機信息一鍵查殺文件隔離/忽略/信任單項部署HTTPS請求443EDR3.2.9SIP3.0.21以及以上聯(lián)動：EDR上處理后，SIP產(chǎn)生的安全同步事件變成已處理HTTPS請求443EDR3.2.13SIP3.0.23以及以上聯(lián)動：解決EDR與SIP之間做了地址轉(zhuǎn)換問題HTTPS請求443EDR3.2.15SIP3.0.39以及以上聯(lián)動：僵尸網(wǎng)絡進程取證HTTPS請求443聯(lián)動響應僅在接入了深信服NGAF、EDR、AC產(chǎn)品后，實現(xiàn)聯(lián)動響應。當威脅發(fā)生后，可通過聯(lián)動響應方式快速封鎖問題IP或攻擊源，主機隔離、病毒查殺，避免勢態(tài)升級。點擊對風險服務器可以選擇聯(lián)動AF和EDR，對于風險終端可以選擇聯(lián)動AF、AC、EDR聯(lián)動響應僅在接入了深信服NGAF、EDR、AC產(chǎn)品后，實現(xiàn)聯(lián)動響應。當威脅發(fā)生后，可通過聯(lián)動響應方式快速封鎖問題IP或攻擊源，主機隔離、病毒查殺，避免勢態(tài)升級。聯(lián)動響應可在【更多】->【聯(lián)動響應】進行聯(lián)動，或查找已經(jīng)下發(fā)的策略?？梢圆榭匆烟砑拥牟呗裕约奥?lián)動封鎖配置步驟。聯(lián)動響應可在【更多】->【聯(lián)動響應】進行聯(lián)動，或查找已經(jīng)下發(fā)的策略?？梢圆榭匆烟砑拥牟呗?，以及聯(lián)動封鎖配置步驟。資產(chǎn)感知的作用聯(lián)動響應的工作過程總結(jié)安全感知平臺功能說明-監(jiān)控和大屏了解安全感知平臺的監(jiān)控中心了解安全感知平臺的安全可視教學目標監(jiān)控中心大屏可視目錄監(jiān)控中心監(jiān)控中心用途：監(jiān)控中心用于顯現(xiàn)全網(wǎng)的安全事件總覽，并呈現(xiàn)存在的主機或安全事件的數(shù)據(jù)統(tǒng)計情況，并可查看主要功能模塊存在問題的top5情況。監(jiān)控中心接入設(shè)備狀態(tài)綜合安全感知業(yè)務安全感知終端安全感知威脅感知資產(chǎn)感知安全播報監(jiān)控中心可通過首頁查看接入設(shè)備的情況，當發(fā)現(xiàn)設(shè)備不線時，查看是否網(wǎng)絡能接通，或查看是否有數(shù)據(jù)上傳SIP的CPU，內(nèi)存、磁盤運行情況。監(jiān)控中心查看設(shè)備接入平臺的位置：【系統(tǒng)設(shè)置】->【設(shè)備管理】監(jiān)控中心設(shè)備的運行天數(shù)全網(wǎng)安全情況綜合評分30天內(nèi)檢測出來的安全事件統(tǒng)計情況需要進行處置的主機數(shù)量用于檢索追蹤風險主機行為近期網(wǎng)絡的熱點流行事件，標紅為當前網(wǎng)絡存在監(jiān)控中心風險服務器的統(tǒng)計情況統(tǒng)計以下四類風險存在的風險主機數(shù)量風險等級最高的top5服務器，可點擊“更多”查看所有的風險服務器監(jiān)控中心風險終端的統(tǒng)計情況風險等級最高的top5終端，可點擊“更多”查看所有的風險終端監(jiān)控中心威脅態(tài)勢可選統(tǒng)計7天或30天的外部威脅、、外連威脅的數(shù)量對比情況橫向威脅。安全事件統(tǒng)計可選統(tǒng)計7天或30天中全網(wǎng)出現(xiàn)次數(shù)最多的top5安全事件。監(jiān)控中心將服務器配置為業(yè)務的總數(shù)，可以定義業(yè)務是否為核心業(yè)務平臺上識別到的服務器數(shù)量情況業(yè)務開放服務TOP5需要進行三周的機器學習得出服務器的行為畫像監(jiān)控中心分為日報、周報、月報，報表只展示在該時間范圍內(nèi)的安全事件，如昨天發(fā)生了安全事件當天進行了處置，導出昨天的日報會展示安全事件，今天不再報新的安全事件時日報為空。當報表為空時，可以通過【處置中心】->【安全事件視角】點擊“最近發(fā)生時間”進行排序，查看周期內(nèi)是否有安全事件生成。監(jiān)控中心最近發(fā)生的時間監(jiān)控中心安全檢測清單：用于對當前SIP檢測出來的安全事件，統(tǒng)計出各類安全事件當前存在多少風險主機，以及處理進度情況如何。監(jiān)控中心挖礦專項檢測：黑客可以通過挖礦獲得收益，所以挖礦事件也較多，該功能模塊可以對全網(wǎng)出現(xiàn)挖礦的安全事件進行統(tǒng)一展示，檢測當前存在挖礦各階段的主機數(shù)量，更直觀了解挖礦的安全態(tài)勢，及時進行處置。監(jiān)控中心大屏可視目錄大屏可視SIP的大屏種類豐富，可以直觀的查看到網(wǎng)絡中存在的問題。大體可以分為以下幾類（一）安全類綜合安全態(tài)勢大屏分支安全態(tài)勢大屏通報預警大屏安全事件態(tài)勢大屏網(wǎng)絡攻擊態(tài)勢大屏網(wǎng)絡攻擊態(tài)勢大屏-3D（需要獨顯支持）外連風險監(jiān)控大屏橫向威脅監(jiān)控大屏脆弱性態(tài)勢大屏大屏可視SIP的大屏種類豐富，可以直觀的查看到網(wǎng)絡中存在的問題。大體可以分為以下幾類（二）訪問關(guān)系類正常橫向訪問監(jiān)控大屏正常外連監(jiān)控大屏資產(chǎn)&接入設(shè)備類資產(chǎn)態(tài)勢大屏設(shè)備運行態(tài)勢大屏重保類重大活動網(wǎng)絡安全指揮調(diào)度大屏大屏可視大屏可視大屏用途說明綜合安全態(tài)勢大屏：全局總覽整體安全態(tài)勢，包括“事前”資產(chǎn)態(tài)勢、脆弱性態(tài)勢，“事中”攻擊態(tài)勢，以及“事后”安全事件態(tài)勢等；同時，也能以安全域的視角直觀地看清風險所在區(qū)域。大屏可視——大屏用途說明大屏用途說明分支安全態(tài)勢大屏：在多分支單位場景時，直觀地、全局地監(jiān)控各健的安全態(tài)勢以及排行。大屏可視——大屏用途說明大屏用途說明安全事件態(tài)勢大屏：監(jiān)控內(nèi)網(wǎng)發(fā)生安全事件的情況，對近期網(wǎng)絡安全行業(yè)中發(fā)生的風險進行監(jiān)控。大屏可視——大屏用途說明大屏用途說明網(wǎng)絡攻擊態(tài)勢大屏：監(jiān)控來自外部的攻擊，直觀展示內(nèi)部網(wǎng)絡在全球范圍內(nèi)面臨的攻擊威脅，攻擊源地理位置、攻擊手段，被攻擊業(yè)務一目了然。大屏可視——大屏用途說明大屏用途說明外連風險監(jiān)控大屏：監(jiān)控業(yè)務的風險外連情況態(tài)勢，業(yè)務系統(tǒng)對外部發(fā)起的攻擊、C&C通信、違規(guī)訪問等。大屏可視——大屏用途說明大屏用途說明橫向攻擊大屏：監(jiān)控內(nèi)部橫向的威脅，看清來自內(nèi)部的威脅，包含內(nèi)對內(nèi)的攻擊、違規(guī)訪問、可疑行為、風險訪問。大屏可視大屏功能擴展每個大屏可以在“設(shè)置”中進行一定程度的自定義，如修改大屏標題，或者增加或減少大屏展示的內(nèi)容。可以在大屏上實現(xiàn)實時告警功能，當出現(xiàn)安全事件后，會在大屏上出現(xiàn)告警的貼圖。若只有一個大屏需要將所有的大屏投放時，可以全貌和大屏輪播投屏，可自定義間隔時間。將鼠標放至大屏上可看到大屏的作用描述，如下一頁圖：大屏可視安全感知平臺監(jiān)控中心的用途總結(jié)。安全感知平臺大屏可視的用途總結(jié)?？偨Y(jié)安全感知平臺功能說明-處置中心了解處置中心對風險主機及事件的分析教學目標處置中心目錄處置中心安全感知平臺最關(guān)鍵的模塊，用于查看當前網(wǎng)絡中存在的風險主機（服務器、PC終端）以及網(wǎng)絡中存在的安全事件。安全感知平臺無處置功能，只能分析出當前的網(wǎng)絡中存在的問題，需要人工或使用殺軟等工具對該模塊中的待處置主機進行處置操作，完成安全問題閉環(huán)。處置中心處置中心將全網(wǎng)安全問題，通過風險主機（服務器、終端）視角、安全域視角、安全事件視角進行整理。當管理員習慣查看哪些主機存在安全問題時，可以通過風險業(yè)務視角或風險終端視角進行查看。當管理員想知道哪個區(qū)域安全較薄弱時，可以通過風險安全域視角進行確認。當公司出現(xiàn)了某項安全事件時，如勒索病毒，可以通過安全事件視角進行查找所有中勒索病毒的主機。處置中心風險業(yè)務，主要查看待處置服務器處置中心風險終端，主要查看待處置終端處置中心查看安全問題較多的區(qū)域處置中心主要查看待處置的事件處置中心風險業(yè)務視角舉例（一）

如：查看的安全事件。查看服務器的風險等級，5及以上的安全事件建議進行處置，5以下的安全事件建議繼續(xù)觀察。標簽為主機存在的安全事件。查看詳細的安全事件時，點擊服務器IP地址進行查看。點擊安全事件，可以查到到更詳細的事件舉證說明。并可看到處置建議?！鶎τ谄渌陌踩录ㄗh可以查看幫助文檔中的安全知識庫處置中心處置中心處置中心以風險業(yè)務視角舉例（二）

如：查看的安全事件。查看服務器的風險等級，5及以上的安全事件建議進行處置，5以下的安全事件建議繼續(xù)觀察。標簽為主機存在的安全事件。查看詳細的安全事件時，點擊服務器IP地址進行查看。點擊安全事件，可以查到到更詳細的事件舉證說明。并可看到處置建議。對于其它的安全事件，建議可以查看幫助文檔中的安全知識庫處置中心處置中心處置中心數(shù)據(jù)的分析和監(jiān)控基于NTA技術(shù)、利用人工智能分析（南北向與東西向）流量和載荷文件，從而識別異常協(xié)議、異常流量、主機異常行為；匹配機制問題：

傳統(tǒng)安全設(shè)備的判斷機制是特征匹配，需要通過異常檢測的方式才有可能識別出可疑攻擊行為，0day、特種木馬、隱蔽通道傳輸?shù)任粗?；監(jiān)控網(wǎng)絡流量、資產(chǎn)、設(shè)備，建模學習日常網(wǎng)絡行為，這樣對異常的連接、數(shù)據(jù)交互、用戶變更等可以實現(xiàn)安全可視和追蹤。處置中心特權(quán)賬號冒用異常行為檢測越權(quán)非法操作違規(guī)訪問行為內(nèi)部數(shù)據(jù)泄露繞過行為檢測風險訪問行為隱蔽通道檢測高級威脅檢測新型Webshell未知惡意文件DGA域名檢測惡意流量行為可疑郵件行為時間序列分析二類分類多類分類聚類離群點檢測DNSflow引擎HTTP

flow引擎SMTP

flow引擎POP3flow引擎IMAPflow引擎文件鑒定引擎ADflow引擎SMBflow引擎機器學習分析引擎場景建模算法集合專家規(guī)則異常行為分析建模流量行為用戶行為操作行為長周期分析大數(shù)據(jù)分析原始數(shù)據(jù)網(wǎng)絡行為數(shù)據(jù)文件Poayload終端行為數(shù)據(jù)數(shù)據(jù)的分析和監(jiān)控處置中心過去：傳統(tǒng)的檢測手段現(xiàn)在：更智能的檢測手段基礎(chǔ)：以特征檢測為主，收集信息不全面手段：流量識別、威脅及漏洞檢測技術(shù)基礎(chǔ)：以全流量檢測為主，收集信息更全面手段：大數(shù)據(jù)、人工智能、機器學習、UEBAAI已深入應用于：Dns引擎、Http引擎、Netflow引擎、SAVE文件檢測引擎檢測手段處置中心檢測手段----DGA檢測處置中心aaaaaaaaaaaaaaaaaaaaaaaaaaaaakna.co.ukaaaaaaaaaaaaaaaaaaaaaaaaaaaaap0y.co.ukAaaaaaaaaaaaaaaaaaaaaaaaaaaaahzu.co.ukXX海油和XX建設(shè)股份通過深信服本地安全大腦判定為APT組織“OceanLotu海蓮花”

檢測手段----APT檢測處置中心檢測手段----數(shù)據(jù)泄漏檢測處置中心深信服人工智能檢測引擎SAVESANGFOR

AI-based

Vanguard

Engine引擎創(chuàng)新人工智能技術(shù)，準確檢測未知病毒不再依賴傳統(tǒng)方法的字節(jié)級特征，使用AI技術(shù)提取穩(wěn)定可靠的高層次特征!榮獲“2018年度賽可達產(chǎn)品獎”獲得了Google認可，加入全球情報聯(lián)盟VirusTotal，列為第三方引擎。精準處置中心場景比較基于特征庫技術(shù)的傳統(tǒng)引擎基于人工智能的SAVE引擎殺毒能力準確查殺已知，應對變種永遠處于追趕狀態(tài)具有泛化能力，能夠查殺病毒變種離線場景不能在線更新病毒庫，能力退化快，只能手動更新殺毒能力強，能力退化慢，短期不更新也能應對大部分，不依賴于云端能力帶寬成本需要頻繁更新特征庫，當節(jié)點數(shù)多，對于企業(yè)網(wǎng)絡帶寬是一個壓力模型更新周期慢，每次更新量小，節(jié)約帶寬成本，不會產(chǎn)生更新帶來的網(wǎng)絡風暴內(nèi)存占用特征庫匹配需要載入內(nèi)存，一般需要占用200~300M內(nèi)存占用小，一般AI模型占用在100M以內(nèi)（SAVE引擎平均占用內(nèi)存70M）精準傳統(tǒng)引擎與人工智能引擎的比較處置中心平臺將事件定義為已失陷、高危、中危、低危、信息，定級說明如下：處置中心SIP對事件通過“失陷確定性”、“威脅等級”兩個維度進行定級。失陷確定性：是對主機風險評級的主要指標。威脅等級：是主機對內(nèi)網(wǎng)或外網(wǎng)造成威脅的評級指標。處置中心失陷確定性：優(yōu)先查看報的已失陷與高危等級事件，這些事件準確性較高，容易查出問題。對于中危和低危事件，需要進一步的分析排查，去確認事件，需要一定的安全分析能力。威脅等級：威脅等級是風險主機對內(nèi)網(wǎng)或外網(wǎng)主機發(fā)起的攻擊行為，如病毒的擴散事件，是對內(nèi)網(wǎng)有威脅的，肉雞對互聯(lián)網(wǎng)發(fā)起攻擊將會被監(jiān)管單位進行通報。如下圖，是主機對內(nèi)網(wǎng)發(fā)起永恒之藍漏洞利用攻擊，以及對互聯(lián)網(wǎng)發(fā)起數(shù)據(jù)庫掃描攻擊，描述了方向。處置中心處置中心的數(shù)據(jù)分析和監(jiān)控是通過什么技術(shù)實現(xiàn)的？總結(jié)安全感知平臺功能說明-分析中心熟悉分析中心的分析功能教學目標分析中心目錄分析中心分析中心的作用說明：1、分析中心結(jié)合了深信服安全感知平臺的可視化威脅追捕、溯源分析、情報關(guān)聯(lián)、行為分析等技術(shù)提供的可視化數(shù)據(jù)呈現(xiàn)，展現(xiàn)那些暫未形成安全事件，但存在可疑，或結(jié)合業(yè)務現(xiàn)狀可分析發(fā)現(xiàn)存在異常的數(shù)據(jù)，提供給駐點安全專家，或有一定安全分析能力的運維人員進行分析，從正?，F(xiàn)象中挖掘異常。查看主機存在的外部、橫向、外連，三個方向的威脅以及訪問情況進行分析。對惡意文件以及郵件威脅可以直接查看到。2、對2U的SIP平臺還可以使用SIEM與EBA發(fā)現(xiàn)更多的主機風險，可以全方位的對安全事件進行識別。分析中心通報說明：1、分析中心包括了外部、橫向、外連三個方向的安全與訪問關(guān)系，并對數(shù)據(jù)傳輸中的文件威脅和郵件威脅做出了單向的檢測展示。2、對訪問情況，平臺還將識別其訪問次數(shù)以及訪問流量，并通過機器學習出基線，識別出異常，通過EBA（行為畫像）展示。3、若在有第三方操作系統(tǒng)以及第三方設(shè)備可以接入到SIP時，會通過SIEM進行關(guān)聯(lián)分析。分析中心分析中心功能介紹威脅分析來自互聯(lián)網(wǎng)，內(nèi)網(wǎng)的攻擊，包括外部威脅、橫向威脅，外連威脅和文件威脅、郵件威脅檢測。分析中心分析中心功能介紹訪問分析檢測互聯(lián)網(wǎng)，內(nèi)網(wǎng)主機的訪問關(guān)系，審計訪問行為。日志檢索平臺審計的安全日志，審計日志以及第三方日志等。情報分析查看當前平臺的威脅情報總量，檢測到內(nèi)網(wǎng)存在威脅情報的情況，并可自定義威脅情報以及將誤報的情報加入白名單。SIEM分析系統(tǒng)通過接入第三方設(shè)備/操作系統(tǒng)日志進行異常行為分析。行為分析（EBA）通報機器學習，建立服務器訪問基線，為后續(xù)識別出服務器的異常流量以及異常訪問等。分析中心威脅分析----外部威脅分析來自互聯(lián)網(wǎng)的攻擊，包括總覽、高危攻擊、殘余攻擊、外部風險訪問等?？焖僮R別到互聯(lián)網(wǎng)的攻擊，可用于分析入口點。分析中心威脅分析----橫向威脅分析來自內(nèi)網(wǎng)主機的攻擊行為，包括橫向攻擊、違規(guī)訪問、可疑行為等。分析中心威脅分析----外連威脅分析內(nèi)網(wǎng)主機主動向互聯(lián)網(wǎng)發(fā)起的攻擊行為或異常連接，包括對外攻擊，C&C通信，隱蔽通信等。分析中心威脅分析----文件威脅分析STA審計到的文件，上傳到SIP通過分析引擎進行識別是否為惡意文件。分析中心威脅分析----郵件威脅分析包括釣魚郵件、垃圾郵件以及病毒郵件的檢測分析。分析中心威脅分析----分析中心是用于更高級的安全事件分析工具，較處置中心，需要更強的安全分析能力。如當在處置中心中發(fā)現(xiàn)一臺主機的威脅等級為中危、低危時，可以通過分析中心對該主機進行外部、橫向、外連等維度的威脅分析。如發(fā)現(xiàn)00這臺服務器存在一些異常行為但是處置中心為低危，如下圖：分析中心低危事件為被互聯(lián)網(wǎng)遠程風險訪問，這時還可以通過分析中心進行查找是否存在其它的行為我們在橫向可疑行為上發(fā)現(xiàn)了該服務器還存在掃描行為，通過人工的方式進一步分析威脅分析分析中心分析中心----訪問分析頁面圖示：分析中心訪問分析功能概述橫向訪問分析通過探針審計橫向訪問流量分析出服務器流量排行以及內(nèi)網(wǎng)最活躍的源主機。外連分析識別內(nèi)網(wǎng)主機訪問互聯(lián)網(wǎng)的情況，分析服務器和終端，是否訪問到?jīng)]有業(yè)務的地域行為。外對內(nèi)業(yè)務流量分析審計互聯(lián)網(wǎng)對DMZ區(qū)業(yè)務的訪問情況，識別出是否有異常的大流量訪問或大量的訪問次數(shù)。可疑DNS分析探針審計到內(nèi)網(wǎng)主機訪問了一些異常的DNS訪問請求。訪問控制核查配置好需要核查的關(guān)系，通過探針進行審計，是否存在該訪問關(guān)系。分析中心訪問分析----訪問關(guān)系用于分析主機發(fā)起的橫向或外連的行為，較之前介紹的“正常橫向訪問監(jiān)控”、“正常外連監(jiān)控”更詳細。橫向連接內(nèi)網(wǎng)橫向訪問可以查看被訪問服務器的流量情況以及最活躍的源主機情況。分析中心訪問分析----對外連接內(nèi)網(wǎng)主動向互聯(lián)網(wǎng)發(fā)起連接，并區(qū)分出服務器與終端。分析中心訪問分析----外對內(nèi)業(yè)務流量分析該頁面可視對外網(wǎng)開放的業(yè)務流量情況，如可視哪些業(yè)務訪客最多，流量最大，來自于哪些地區(qū)的訪客。分析中心訪問分析----可疑DNS分析訪問一些高風險注冊地（小國家的地址，如蒙塞拉特島、薩摩亞等可以自定義）政府單位會關(guān)注。分析中心訪問分析----訪問控制核查該頁面通過觀察指定的IP（組）之間是否有訪問，來核查訪問控制策略是否生效。分析中心日志檢索是最原始的數(shù)據(jù)源，其中有安全日志也有審計日志，上述的分析中心模塊是已經(jīng)將日志檢索中的日志進行聚合的結(jié)果，只在需要分析單條日志時才使用日志檢索。日志類型選擇用于篩選安全日志，審計日志以及第三方接入設(shè)備/操作系統(tǒng)日志，進行分類查詢。搜索框可以自定義輸入查詢的字段，搜索技巧可以查看幫助文檔。日志方向在分析日志時，可能有時需要只篩選某個方向上的日志，可以使用此功能。重點/