威胁态势大屏
在现场讲解汇报、实时监控等场景下,为了获得更好的演示效果,通常需要将安全云脑服务的分析结果展示在大型屏幕上。如果只是单纯将控制台界面放大显示,视觉效果并不是很理想。此时可以利用安全大屏,展示专为大型屏幕设计的服务界面,获得更清晰的态势信息和更好的视觉效果。
安全云脑默认提供一个威胁态势大屏,可以查看网络攻击次数、应用拦截次数、主机层拦截次数等总览情况,实现一屏全面感知。
前提条件
已开通安全大屏增值项,详细操作请参见购买增值包。
操作步骤
- 登录管理控制台。
- 在页面左上角单击
,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。 - 在左侧导航栏选择,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
图1 进入目标工作空间管理页面
- 在左侧导航栏选择,进入安全大屏页面。
图2 进入安全大屏页面
- 单击“威胁态势大屏”图片,进入威胁态势大屏信息页面,如图3。
威胁态势大屏总览
如图4所示,展示当前账号内资产的网络日志攻击次数、应用日志攻击次数和主机日志攻击次数。
参数名称 |
统计周期 |
更新频率 |
说明 |
|
|---|---|---|---|---|
网络日志攻击 |
次数 |
近7天 |
每小时 |
近7天弹性公网IP被攻击的次数。 |
较上周 |
近7天弹性公网IP被攻击次数,与近7-14天弹性公网IP被攻击次数的差值。 |
|||
应用日志攻击 |
次数 |
近7天 |
每小时 |
近7天网站被攻击次数。 |
较上周 |
近7天网站被攻击次数,与近7-14天网站被攻击次数的差值。 |
|||
主机日志攻击 |
次数 |
近7天 |
每小时 |
近7天ECS被攻击次数。 |
较上周 |
近7天ECS被攻击次数,与近7-14天ECS被攻击次数的差值。 |
|||
攻击来源分布情况
如图5所示,列表呈现TOP5的网络攻击和应用攻击来源的分布情况,包括被攻击的资产IP、所属部门以及个数。
参数名称 |
统计周期 |
更新频率 |
说明 |
|---|---|---|---|
Top5 网络日志攻击来源分布 |
近7天 |
每小时 |
近7天弹性公网IP被攻击的情况,按照攻击的源IP进行聚合统计,按照聚合后的统计次数由多到少取前五名。 |
Top5 应用告警攻击来源分布 |
近7天 |
每小时 |
近7天网站被攻击的情况,按照攻击的源IP进行聚合统计,按照聚合后的统计次数由多到少取前五名。 |
攻击类型分布
如图6所示,呈现TOP5的网络攻击类型、TOP5的应用攻击类型、主机类型分布情况。
参数名称 |
统计周期 |
更新频率 |
说明 |
|---|---|---|---|
Top5 网络告警攻击类型 |
近7天 |
每小时 |
近7天弹性公网IP被攻击的类型统计,按照不同类型的攻击从多到少取前5名。 如果不存在网络攻击或没有对应数据表,则会展示五项全为0的默认类型。 |
Top5 应用告警攻击类型 |
近7天 |
每小时 |
近7天网站被攻击的类型统计,按照不同类型的攻击从多到少取前5名。 如果不存在应用攻击或没有对应数据表,则会展示五项全为0的默认类型。 |
Top5 主机告警攻击类型 |
近7天 |
每小时 |
近7天ECS被攻击的类型统计,按照不同类型的攻击从多到少取前5名。 如果不存在ECS攻击或没有对应数据表,则会展示五项全为0的默认类型。 资产统计信息来源于安全云脑的页面。 |
威胁态势统计
如图7所示,当前账号内资产的告警统计情况、日志分析总量及分布情况、模型检测总量及分布情况。
参数名称 |
统计周期 |
更新频率 |
说明 |
|
|---|---|---|---|---|
告警统计 |
日志条数 |
近7天 |
每小时 |
近7天网络、应用、主机被访问产生的日志条数总和。 |
威胁攻击数 |
近7天网络、应用、主机识别为被攻击产生的日志条数总和。 |
|||
告警数 |
近7天中依据攻击日志产生的告警数量。 |
|||
事件数 |
近7天依据告警,转为的事件数量。 |
|||
日志分析 |
总日志量 |
近7天 |
每小时 |
近7天网络、应用、主机被访问产生的日志大小总和,单位为MB。 |
环比 |
近7天网络、应用、主机被访问产生的日志大小总和,与近7-14天用户网络、应用、主机被访问产生的日志大小总和的对比。 计算方法:(本期数 - 上期数) / 上期数 × 100%。 |
|||
统计趋势图 |
近7天每天网络、应用、主机被访问产生的日志大小总和,单位为MB。 |
|||
模型监测统计 |
模型总数 |
实时 |
每小时 |
中已有模型的数量。 |
统计表格 |
近7天 |
每小时 |
每种类型的威胁检测模型,检测出的威胁次数。 如果没有威胁检测模型,则会默认展示四种类型,其值全部为0。 |
|
