威胁态势大屏

在现场讲解汇报、实时监控等场景下，为了获得更好的演示效果，通常需要将安全云脑服务的分析结果展示在大型屏幕上。如果只是单纯将控制台界面放大显示，视觉效果并不是很理想。此时可以利用安全大屏，展示专为大型屏幕设计的服务界面，获得更清晰的态势信息和更好的视觉效果。

安全云脑默认提供一个威胁态势大屏，可以查看网络攻击次数、应用拦截次数、主机层拦截次数等总览情况，实现一屏全面感知。

已开通安全大屏增值项，详细操作请参见购买增值包。

如图3所示，展示当前账号内资产的网络日志攻击次数、应用日志攻击次数和主机日志攻击次数。

表1 威胁态势大屏总览
参数名称		统计周期	更新频率	说明
网络日志攻击	次数	近7天	每小时	近7天弹性公网IP被攻击的次数。
网络日志攻击	较上周	近7天	每小时	近7天弹性公网IP被攻击次数，与近7-14天弹性公网IP被攻击次数的差值。
应用日志攻击	次数	近7天	每小时	近7天网站被攻击次数。
应用日志攻击	较上周	近7天	每小时	近7天网站被攻击次数，与近7-14天网站被攻击次数的差值。
主机日志攻击	次数	近7天	每小时	近7天ECS被攻击次数。
主机日志攻击	较上周	近7天	每小时	近7天ECS被攻击次数，与近7-14天ECS被攻击次数的差值。

图3 威胁态势大屏总览

如图4所示，呈现TOP5的网络攻击和应用攻击来源的分布情况，包括被攻击的资产IP、所属部门以及个数。

表2 攻击来源分布情况
参数名称	统计周期	更新频率	说明
Top5 网络日志攻击来源分布	近7天	每小时	近7天弹性公网IP被攻击的情况，按照攻击的源IP进行聚合统计，按照聚合后的统计次数由多到少取前五名。
Top5 应用告警攻击来源分布	近7天	每小时	近7天网站被攻击的情况，按照攻击的源IP进行聚合统计，按照聚合后的统计次数由多到少取前五名。

图4 攻击来源分布

如图5所示，呈现TOP5的网络攻击类型、TOP5的应用攻击类型、主机类型分布情况。

表3 攻击类型分布
参数名称	统计周期	更新频率	说明
Top5 网络告警攻击类型	近7天	每小时	近7天弹性公网IP被攻击的类型统计，按照不同类型的攻击从多到少取前5名。如果不存在网络攻击或没有对应数据表，则会展示五项全为0的默认类型。
Top5 应用告警攻击类型	近7天	每小时	近7天网站被攻击的类型统计，按照不同类型的攻击从多到少取前5名。如果不存在应用攻击或没有对应数据表，则会展示五项全为0的默认类型。
Top5 主机告警攻击类型	近7天	每小时	近7天ECS被攻击的类型统计，按照不同类型的攻击从多到少取前5名。如果不存在ECS攻击或没有对应数据表，则会展示五项全为0的默认类型。资产统计信息来源于安全云脑的“威胁运营 > 告警管理”页面。

图5 攻击类型分布

如图6所示，当前账号内资产的告警统计情况、日志分析总量及分布情况、模型检测总量及分布情况。

表4 威胁态势统计
参数名称		统计周期	更新频率	说明
告警统计	日志条数	近7天	每小时	近7天网络、应用、主机被访问产生的日志条数总和。
	威胁攻击数			近7天网络、应用、主机识别为被攻击产生的日志条数总和。
	告警数			近7天“威胁运营 > 告警管理”中依据攻击日志产生的告警数量。
	事件数			近7天“威胁运营 > 事件管理”依据告警，转为的事件数量。
日志分析	总日志量	近7天	每小时	近7天网络、应用、主机被访问产生的日志大小总和，单位为MB。
	环比			近7天网络、应用、主机被访问产生的日志大小总和，与近7-14天用户网络、应用、主机被访问产生的日志大小总和的对比。计算方法：（本期数 - 上期数） / 上期数 × 100%。
	统计趋势图			近7天每天网络、应用、主机被访问产生的日志大小总和，单位为MB。
模型监测统计	模型总数	实时	每小时	“威胁运营 > 智能建模”中已有模型的数量。
模型监测统计	统计表格	近7天	每小时	每种类型的威胁检测模型，检测出的威胁次数。如果没有威胁检测模型，则会默认展示四种类型，其值全部为0。