查看攻击事件日志
NDR将识别出的网络攻击记录在攻击事件日志,您可以通过查看攻击事件日志,定位攻击源、被攻击目标等信息。
查看攻击事件日志
- 登录NDR控制台。
- 在左侧导航树中,选择,进入日志页面。
- 单击“攻击事件日志”页签,进入攻击事件日志列表。
图1 攻击事件日志
- 在搜索框中,可筛选需要查看的日志,仅支持精确搜索。
- 单击“导出”,可导出日志,最大支持10000条。
- 单击
,可选择日志显示内容,当前支持的日志信息如表1所示。
表1 攻击事件分析 类别
说明
发生时间
攻击日志发生的时间,支持重新排序。
攻击事件类型
攻击事件的类型。
危险等级
该攻击日志的危险级别,支持筛选。
告警可信度
该攻击日志的告警可信的程度,支持筛选。
IP类型
支持IPv4和IPv6。
攻击源IP
作为攻击源头的IP信息。
被攻击IP
作为被攻击方的IP信息。
端口
攻击源端口和被攻击端口。
ATT&CK技术
检测出来网络攻击使用的技术,例如“通过替代协议进行渗漏”。
方向
流量的方向:- 入方向:外部IP指向云内资产IP的流量。
- 出方向:云内资产IP指向外部IP的流量。
- 内部流量:云内资产IP之间的流量。
- POD-DMZ流量:云内不同网络区域之间的流量。
- 未知:未能识别出来的流量。
传输协议
该攻击日志的传输层协议。
应用协议
该攻击日志的应用层协议。
VPC名称/ID
该日志所属的VPC名称和ID。
流量类型
加密流量和非加密流量。
实例类型
主机的实例类型。
攻击结果
本次攻击的结果。
服务器/ID
服务器的名称和ID。
代理IP
服务器的代理IP地址。
查看攻击事件日志详情
- 在左侧导航树中,选择,进入日志页面。
- 单击“攻击事件日志”页签,进入攻击事件日志列表。
- 在需要查看的攻击事件日志所在行的“操作”列,单击“详情”,即可查看日志的详细信息,日志参数如表2所示。
表2 详情参数 类别
参数
说明
基本信息
发生时间
攻击日志发生的时间,支持重新排序。
攻击事件类型
攻击事件的类型。
危险等级
该攻击日志的危险级别,支持筛选。
- 高危
- 中危
- 低危
告警可信度
该攻击日志的告警可信的程度,支持筛选。
- 高可信
- 中可信
- 低可信
规则ID
本次攻击命中的规则ID。
命中规则名称
本次攻击命中的规则全称。
IP类型
IP的类型。
攻击源IP
作为攻击源头的IP信息。
被攻击IP
作为被攻击方的IP信息。
方向
流量的方向。- 入方向:外部IP指向云内资产IP的流量。
- 出方向:云内资产IP指向外部IP的流量。
- 内部流量:云内资产IP之间的流量。
- POD-DMZ流量:云内不同网络区域之间的流量。
- 未知:未能识别出来的流量。
传输协议
攻击事件使用的传输层协议。
应用协议
攻击事件使用的应用层协议。
建议动作
NDR服务对该攻击事件的操作。
- 阻断:阻断访问。
- 放行:允许访问。
流量类型
加密流量和非加密流量。
代理IP
攻击源的代理IP信息。
数据来源
攻击的来源站点信息。
引擎IP
工控机的IP信息。
攻击结果
本次攻击的结果。
攻击源标签
攻击源的资源标签。
被攻击标签
被攻击对象的资源标签。
攻击源端口
作为攻击源头的端口信息。
被攻击端口
作为被攻击方的端口信息。
CVE漏洞披露
该攻击所属的现有CVE漏洞披露信息。
高频率爆破扫描类型
本次攻击的爆破扫描类型。
- 一对多:一个攻击源IP攻击了多个目的IP。
- 多对一:多个攻击源IP攻击了一个目的IP。
- 一对一:一个攻击源IP攻击了一个目的IP。
ATT&CK技术
使用的ATT&CK技术名称。
ATT&CK矩阵
ATT&CK技术ID。
源VPC名称
攻击源VPC的名称。
源VPC ID
攻击源VPC的ID。
目的VPC名称
被攻击的VPC名称。
目的VPC ID
被攻击的VPC ID。
实例ID
主机的实例ID。
实例类型
主机的实例类型。
响应码
HTTP响应码。
代理
代理信息。
爆破扫描攻击IP数
一分钟内高频率爆破攻击的攻击源IP数。
爆破扫描被攻击IP数
一分钟内被高频率爆破攻击的IP数。
爆破扫描被攻击端口数
一分钟内被高频率爆破攻击的端口数。
攻击次数
一分钟内高频率爆破攻击的次数。
攻击payload
五元组信息
攻击事件的五元组信息,包括“攻击源IP”、“攻击源端口”、“被攻击IP”、“被攻击端口”、“传输协议”、“响应码”和“代理”。
载荷内容
经Base64编码显示后的攻击访问的请求体内容。
威胁情报
攻击IP地理位置信息
攻击源IP所属的地理位置信息,包括“攻击源IP”、“国家”等信息。
下载PCAP报文
- 在目标攻击事件日志所在行,单击“详情”,进入攻击事件日志详情页面。
- 单击“攻击payload”页签。
- 单击“导出pcap原文”。
