文档首页/ 安全与治理/ 顶象业务安全解决方案/ 实施步骤/ 态势
更新时间:2024-02-28 GMT+08:00
查看PDF
分享

态势

大盘

威胁感知大盘展示当前自然日的威胁感知数据,威胁感知大盘分为首屏、次屏和设备屏,可自定义设置首、次屏的展示数据、刷新频率和切换频率。

图1 风险大盘设置

态势概览展示

态势概览模块默认展示近7天的风险数据,包括请求趋势、策略、规则趋势、风险事件等维度报表。特别是策略命中排行等维度数据可以为业务人员提供感知策略调优数据依据。

支持通过“产品”、“事件”和“统计时间”查询风险请求、风险命中情况、产品/事件命中情况、策略命中情况、节点命中情况、规则命中情况、风险类型命中情况多个维度的统计报表。

监控中心-态势监控

  • 态势请求监控
    1. 查询:查询系统的风险识别日志,及时了解业务系统的风险情况和定位风险源头及数据回放,查看策略的执行结果,支持通过各类查询条件组合进行筛选。

      通过设置查询条件,可从不同维度对请求结果进行筛选,查询结果列表的展示会随查询条件的维度而变化,可从请求、策略、节点、规则等维度展示列表信息,也支持设置高级查询条件。

    2. 导出数据:在态势请求监控页面,单击【导出数据】按钮,可批量或单个导出请求事件;

      勾选事件后,再次单击【导出数据】按钮,可以选择需要到导出数据的明细,根据实际业务需要,勾选需要导出的数据信息;

  • 态势报告管理

    系统可以自动发送设置周期内的风险报告邮件,可以不通过访问态势概览,通过邮件了解日常风险情况,报告的维度包括风险趋势、风险分类占比、每日风险详情。

    图2 添加数据报告
  • 态势监控报警

    该功能支持对不同产品、事件下的业务情况进行监控,包括请求总量、正常请求量、风险请求量、疑似风险请求量进行监控,可以按分钟、小时、天进行高于、低于等百分比进行监控设置,超过设定的条件后,系统将发送报警通知到设定的邮箱。

    图3 添加监控

数据赋能管理

  • 字段管理

    字段是用于判断和识别风险的最小单位,例如ID、IP地址、 账号、设备指纹等,配置指标、策略时都将用到字段。

    支持批量导入或手动新增字段,手动新建/编辑字段时,可使用函数计算公式,使用复杂表达式定义函数字段。

    系统内已有预置分类,也可单击“字段分类管理”创建自定义分类,在规则中使用字段时可通过分类筛选字段,方便选择。

    手动新增字段:在字段管理页面单击“添加字段”按钮,弹出添加字段页面,依次填写字段的信息。

  • 名单管理

    用户可以自定义名单并上传数据,名单数据支持增删改查的操作,在策略中可以使用名单数据。

    1. 添加名单

      单击名单管理列表右上方的“添加名单”,弹出“添加名单”页面,如下图所示:

      图4 添加名单
      图5 添加名单成功提示

      名单中的数据可选择手动录入或批量上传,名单数据具有有效期的属性,可根据实际需求设置某些数据的有效起止日期。

    2. 添加名单数据-文件上传

      根据“模板文件”示例,添加名单数据在文件中,并导入到系统中即可批量上传名单数据;

      图6 本地上传名单数据
    3. 添加名单数据-手动录入

      可手动逐条添加名单数据信息,并可约束名单数据的效期;

      图7 手动录入名单数据
  • 函数管理

    可管理系统中的函数,支持增、删、改、查操作。

    单击函数管理列表右上方的“新建函数”,弹出“新增函数”页面,实现方式为函数组合:通过常量、函数和参数的组合配置生成新函数;

    图8 新建函数

    实现方式为groovy脚本:输入脚本生成新函数;脚本语言可使用java语言进行实现;

    所有函数为全部部门可见,添加函数时无需选择函数的所属部门;

    单击“提交”按钮,函数新增成功,单击“取消”按钮,数据无变化;

    图9 新建函数提交
  • 风险类型管理

    根据业务场景定义不同的风险类型并在策略中使用,命中后可在态势概览里根据风险类型来查询风险分类趋势。可管理系统中的风险类型,支持增、删、改、查操作。

    在风险类型管理,单击“添加风险类型”按钮,输入分类名称后即可自定义风险分类;

  • 指标特征

    可管理系统中的指标,查看指标的调用统计,新建指标计算方式。

    1. 指标调用统计:

      定义完成的指标有数据接入后,在此模块就可以看到指标的调用统计信息,包括指标调用趋势图、调用排行、接口调用量等信息。

      单击“指标调用统计”菜单,进入页面,系统默认展示进7天的数据;

      在页面上可支持对指标的“统计时间”、“产品名称”、“事件名称”筛选条件进行查询;

      其中筛选条件如果不选择,则“统计时间”默认本周的数据,“产品名称”和“事件名称”默认所有;

      指标的调用统计包括:指标调用总量、指标计算量、指标取值量,调用趋势图,指标调用排行等数据。

    2. 指标特征定义

      在指标特征定义页面,单击“添加指标”按钮,弹出“添加指标”页面;

      新建指标时,需选择指标的计算事件;

      目前系统内置了统计、求和、求平均、求关联、历史指标、最大值、最小值、标准差、频次排行等计算方式,可根据业务场景在配置时进行选择。

    3. 计算方式管理

      计算方式是指标里使用到的,系统里内置了常用的关联、统计、方差等计算方式,在此功能模块可以对系统内置的计算方式和新建的计算方式来查询。

      计算方式是指标里使用到的,系统里内置了常用的关联、统计、方差等计算方式,也支持自定义计算方式,在“计算方式管理”界面,单击【添加计算方式】按钮,弹出如下图:

      图10 添加计算方式

      在页面弹出框,依次填写计算方式名称、Code、数据类型、返回类型、描述、脚本,单击“确定”按钮完成指标的定义,添加后即时生效。数据聚合

      可管理外部数据和管理外部数据映射,支持对外部数据及其映射进行增、删、改、查的操作。

  • 数据聚合
    1. 三方数据源

      列表展示已添加的所有三方数据源,支持查看、编辑、删除和添加新的三方数据源。

      在“三方数据源”的列表中,单击【添加三方数据源】按钮,可设置数据源的基本信息、计费方式、费用和参数等。

      外部数据创建完成后可添加映射,将外部数据的入参与系统内的字段进行映射,映射完成后可在策略中使用此外部数据。

      图11 入参配置
      图12 出参配置
    2. 行内数据源

      列表展示已添加的所有行内数据源,支持查看、编辑、删除和添加新的行内数据源。

      图13 行内数据源

      新增行内的数据源可以通过添加数据源的方式与系统对接。

      行内数据源的添加分为两部分,一部分为基本信息的输入;第二部分需要设置三方数据源的入参和出参,设置完即可在策略中使用。

      单击“行内数据源”菜单,进入页面,单击页面右上角“添加行内数据源”按钮;

      在页面弹出框,依次填写数据名称、Code,选择状态、来源数据库、缓存时间,设置入参;
      图14 添加行内数据源
    3. 映射管理

      无论是SAAS数据源还是行内数据源,在数据源添加到系统后,需要将数据源的入参与系统的字段做映射后才可使用。

      单击“映射管理”菜单,进入页面;列表中每条数据源的最右侧有操作栏,单击操作栏的“添加映射”操作,弹出“添加映射”页面;

      添加映射时需设置映射名称、映射可见范围,将数据源的入参和系统字段进行映射,映射完成后即可在策略中使用此数据源;

      依次输入“映射名称”,选择“所属部门”,选择“使用事件”,列表下方显示事件下的字段,选择字段后,单击“确定”按钮,完成字段映射。

      图15 字段映射

      在数据源添加到系统后,需要将数据源的入参与系统中字段做映射后才可使用;每个数据源下可能有多个映射。

      编辑映射:在“映射管理”列表中,单击操作列的编辑“”按钮,弹出“编辑行内数据源”页面,除“数据源”和“所属部门”无法修改,其他数据都可以进行修改;

      删除映射:在列表中每条“数据源”的最右侧有操作栏,单击操作栏的“”按钮,再单击每条“映射数据”操作栏的删除“”按钮;,如下图:

      图16 删除映射警告

      单击【取消】数据无变化,单击【确定】,该数据提交到“上线审核”流程,审核通过,则删除成功;审核拒绝,则删除失败;

      如果该数据源已经被使用,则无法删除,并弹出提示信息,如下图:

    4. 数据调用统计

      支持查看数据调用情况,查看调用次数、查得率、调用成本等统计图及数据调用详情的列表展示。

      单击“数据调用统计”菜单,进入页面;

      页面上默认展示近30天的数据,同时可以通过统计范围、数据源名称、统计时间查询三方数据源、行内数据源的调用情况。

防御策略管理

  • 事件管理

    单击“事件管理”菜单,进入页面;在页面右上角,单击“添加事件”按钮,弹出“添加事件”页面;

    依次选择所属产品,输入事件名、Code,填写描述,设置事件下的关联字段、指标、风险类型、外部数据映射、模型映射。

    最后单击“确定”按钮完成事件的创建。

  • 策略配置

    用户可根据业务需求自定义策略并对策略信息进行维护,支持按目录管理策略,可查看产品、事件、策略的层级关系,支持通过目录快速定位到策略及策略节点查看详情。

    新建策略时,可设置策略名称、所属产品和关联事件、优先级、状态、策略模式等基本信息和策略配置详情。也可通过复制功能复制已有的策略并在原策略的基础上进行修改生成新的策略。

    执行条件:满足条件时才会执行策略。

  • 策略实验室

    策略实验室主要用于策略调优,实验室的策略支持用户手动新建,也可引用线上策略。调优后的策略可复制到线上去运行。

    开始实验:

    可在“策略实验室”界面,在试验列表中选择需要执行的试验项,并单击操作列的“”按钮,跳转到配置“试验数据源”页面;

    支持选择线上实时数据、线上历史数据或自定义数据(多笔、单笔)、测试案例管理多种数据源对策略进行试验。查看试验结果时,操作员可选择不同的查询维度(策略、节点)查看不同的报表项,也支持查看试验策略的执行详情和决策结果。

    如果选择“线上数据”,单击【开始试验】按钮,即可查看线上数据在该试验项下的“风险趋势统计”和“执行详情”的情况;

    选择是否保留结果(线上实时数据除外),可以保留本次结果的报告。在试验室列表可以查看试验结果。

    图17 策略实验室

统计报表

  • 态势请求统计:展示总请求量、正常请求量、疑似请求量、风险请求量的趋势统计,最多可查询近180天的数据。支持不同时间段的请求趋势的对比和数据报表的导出操作。
  • 策略命中统计:统计每个策略或策略节点的执行请求量,可按同事件下策略的执行顺序查看每个策略的执行量,也可按流程策略中节点的执行顺序查看每个节点的执行量;查询结果支持导出。
  • 风险类型统计:统计风险请求对应的风险类型的命中情况,查询结果支持导出。

设备指纹

  • 数据统计

    数据统计展示昨日设备指纹的请求量,昨日有风险的设备请求量及设备请求趋势图,同时支持对近7天、近30天等时间范围的查询。

    图18 数据统计

    在页面下方对查询时间内的数据通过列表的方式进行了详细的展示,包括总请求量、Web、iOS、Android请求量及各端的风险量情况。

    图19 数据统计列表
  • 风险分析

    风险分析模块默认展示当前自然日的设备请求趋势、风险命中排行、异常占比、风险请求分布,并支持按不同应用、请求时间来查询。

    图20 风险分析

    在页面下方以列表的形式展示每个时间段内不同风险标签的命中情况。

    图21 风险命中数据列表
  • 设备画像

    在设备画像模块支持按设备指纹、设备指纹token来查询设备的画像,设备画像包括设备的基础属性、近期行为属性、近七日常用地,近七日关联信息。

    图22 设备画像

系统管理

  • 产品管理

    系统的前提是需要先创建产品, 系统会分配 appId和appSecret. 这两个参数标识一个应用, 如事件, 字段, 指标, 策略等, 就算是调用任何一个接口都需要对appId和appSecret进行鉴权。

    根据产品名称可在搜索框中输入需要查询的产品,单击搜索图标或者按下键盘的“Enter”键进行搜索,产品支持模糊查询,如果在查询框不输入任何产品名称,默认加载所有产品记录。

    在产品管理列表中,单击操作列的右侧的加号“”按钮,可以对产品的查询列表进行自定义设置,以便更清晰的查询产品的相关信息。

  • 账号管理

    账号管理列表默认按照最后登录时间倒序排序,可根据“账号昵称”、“所属部门”、“角色”进行查询;

    系统管理员可以添加不同角色的账号,以方便不同业务部门登录平台进行相关操作。新增的账号默认为“启用”状态;

    角色右侧单击“查看角色说明”可以查看所有角色对应的权限信息;

    角色支持选择多个,以多个角色的并集作为该账号的权限配置

    输入账号相关信息,其中“登录密码”的管理员可以自己设定也可以单击“生成密码”,系统自动生成密码;单击“提交”即可添加成功该账号信息;

  • 权限管理

    在系统管理菜单下单击权限管理,打开权限管理列表页面,列表内容默认按照角色创建时间排列,可根据角色名称进行查询,支持对角色进行增、删、改、查的操作。

  • 部门管理

    超级管理员可访问此模块,创建不同的部门。不同部门的产品、事件、字段、指标、策略等数据,相对独立,仅限于本部门员工可见,但名单、风险类型、函数、模型等数据所有部门可以共享。

  • 系统日志

    系统日志记录了各角色在系统上的操作记录。可以查看详情和导出日志。

父主题: 实施步骤

相关文档