更新时间:2024-11-21 GMT+08:00

综合态势感知大屏

操作场景

在现场讲解汇报、实时监控等场景下,为了获得更好的演示效果,通常需要将安全云脑服务的分析结果展示在大型屏幕上。如果只是单纯将控制台界面放大显示,视觉效果并不是很理想。此时可以利用安全大屏,展示专为大型屏幕设计的服务界面,获得更清晰的态势信息和更好的视觉效果。

安全云脑默认提供一个综合态势感知大屏,可以还原攻击历史,感知攻击现状,预测攻击态势,为用户提供强大的事前、事中、事后安全管理能力,实现一屏全面感知。

前提条件

已开通安全大屏增值项,详细操作请参见购买增值包

操作步骤

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  5. 在左侧导航栏选择安全态势 > 安全大屏,进入安全大屏页面。

    图2 进入安全大屏页面

  6. 单击综合态势感知大屏右下角的“播放”,进入综合态势感知大屏信息页面。

    页面中各个模块的功能介绍、数据信息等详见下述内容。

安全评分

图3所示,展示当前资产安全健康得分。

表1 安全评分

参数名称

统计周期

更新频率

说明

安全评分

实时

  • 每天2:00自动更新
  • 随当前工作空间“态势总览”中的“安全评分”手动更新而更新,约有5分钟延迟

根据是否开启各安全服务防护、未处理的配置问题等级及个数、未处理的漏洞等级及个数、未处理的威胁事件等级及个数等,加权计算得来。

  • 风险等级包括“无风险”“提示”“低危”“中危”“高危”“致命”
  • 分值范围为0~100,分值越大表示风险越小,资产更安全。
  • 分值从0开始,每隔20取值范围对应不同的风险等级,例如分值范围40~60对应风险等级为“中危”
  • 分值环形图不同色块表示不同威胁等级,例如黄色对应“中危”
图3 安全评分

告警统计情况

图4所示,展示已接入服务的告警统计情况。

告警数据统计情况来源于当前工作空间的威胁运营 > 告警管理,如需查看对应详细信息,可以前往该页面进行查看。

表2 告警统计情况

参数名称

统计周期

更新频率

说明

新增告警

今天

5分钟

当天新增的告警数量。

威胁告警

近7天

5分钟

近7天新增的告警数量。

待解决告警

近7天

5分钟

近7天“状态”不是“关闭”的告警数量。

已解决告警

近7天

5分钟

近7天“状态”“关闭”的告警数量。

图4 告警统计情况

资产防护率

图5所示,展示近7天内主机和网站的防护情况,包含已防护和未防护资产的比例。将鼠标悬停在对应模块上,可以查看已防护/未防护资产数量。

表3 资产防护率

参数名称

统计周期

更新频率

说明

资产防护率

近7天

5分钟

近7天内主机和网站的防护情况,包含已防护和未防护资产的比例。

  • 主机防护情况:已开启和未开启主机安全服务 HSS的ECS数量统计。
  • 网站防护情况:已开启和未开启Web应用防火墙 WAF防护网站数据统计。
图5 资产防护率

基线合规

图6所示,展示当前资产基线配置和漏洞修复情况、基线扫描后的风险资源分布情况和近7天内漏洞修复的趋势。

  • 基线数据统计情况来源于当前工作空间的风险预防 > 基线检查,如需查看对应详细信息,可以前往该页面进行查看。
  • 漏洞数据统计情况来源于当前工作空间的风险预防 > 漏洞管理,如需查看对应详细信息,可以前往该页面进行查看。
表4 基线合规

参数名称

统计周期

更新频率

说明

配置基线

实时

5分钟

最近一次执行基线检查后,基线配置的统计情况,即基线配置通过和不通过的配置项目数量。

漏洞处理

近7天

5分钟

近7天的漏洞处理情况,包括已修复、未修复漏洞的数量。

风险资源分布

实时

5分钟

最近一次执行基线检查的风险资产分布情况以及风险资产的数量。风险等级分为:致命、高危、中危、低危、提示几个级别。

漏洞趋势

近7天

5分钟

近7天的每日新增的漏洞数据及其分布趋势。

图6 基线合规

威胁态势

图7所示,展示近7天内每日受到威胁的资产的数量和近7天内每日上报的安全日志日志量大小。

威胁态势的横坐标表示时间,左侧纵坐标表示受威胁资产的数量,右侧纵坐标表示受威胁访问的日志量。将鼠标箭头置于某个日期上,可以看到该日受威胁的资产总数和日志量大小。

表5 威胁态势

参数名称

统计周期

更新频率

说明

总攻击趋势

近7天

5分钟

近7天每日告警数量。

告警数据统计情况来源于当前工作空间的威胁运营 > 告警管理,如需查看对应详细信息,可以前往该页面进行查看。

日志量趋势

近7天

5分钟

近7天每日上报的安全日志日志量大小。

图7 威胁态势

待办工单

图8所示,实时展示当前工作空间内的待办事项。

表6 待办工单

参数名称

统计周期

更新频率

说明

待办工单

实时

5分钟

当前工作空间内的安全态势 > 任务中心中待办的任务。

图8 待办工单

响应闭环

图9所示,展示告警处置情况、近7天内SLA(计划关闭时间)和MTTR(平均恢复时间)达成率和近7天内事件自动处置统计情况。

告警数据统计情况来源于当前工作空间的威胁运营 > 告警管理,如需查看对应详细信息,可以前往该页面进行查看。

表7 响应闭环

参数名称

统计周期

更新频率

说明

告警统计

告警总数

近7天

5分钟

近7天新增的告警数量。

处置数

近7天“状态”“关闭”的告警数量。

及时处置数

近7天“状态”“关闭”且满足计划关闭时间的告警数量。

满足计划关闭时间是指关闭时间早于或等于计划关闭时间。

自动处置数

近7天“状态”“关闭”且为安全云脑剧本等自动关闭的告警数量。

告警关闭方式查看方法:在告警详情中查看“close_comment”字段中的数值是否为“ClosedByCSB”“ClosedBySecMaster”,如果是,则为自动关闭,如果不是则为手动关闭。

7天SLA和MTTR

SLA统计分析

近7天

5分钟

近7天告警处理的时效满足情况。计算方法如下:

已设置了SLA(计划关闭时间)字段的告警,当告警关闭时间-告警产生时间≤设置的SLA时间时,则表示满足,反之则表示不满足。

  • 满足:告警关闭时间早于或等于告警计划关闭时间;
  • 不满足:告警关闭时间晚于告警计划关闭时间。

MTTR平均响应时间

近7天平均告警关闭时间。计算方法如下:

MTTR(平均恢复时间)=每个告警的处理时间总和/告警总数,其中,每个告警的处理时间=关闭时间-创建时间。

7天告警自动处置统计

近7天

5分钟

近7天告警被手动处理和自动处理了的统计总数。

  • 手动处置:告警管理中手动关闭的告警数量;
  • 自动处置:由安全云脑剧本等方式自动关闭的告警数量。

告警关闭方式查看方法:在告警详情中查看“close_comment”字段中的数值是否为“ClosedByCSB”“ClosedBySecMaster”,如果是,则为自动关闭,如果不是则为手动关闭。

图9 响应闭环