启用微步威胁情报后,您可在威胁情报页面查看威胁扫描结果,并集中处理告警事件。本文介绍了威胁情报的使用方法。
前提条件
步骤一:查看威胁情报的统计概览
- 在威胁情报页面查看威胁情报基本信息。
可查看今日、近7天或近30天的告警主机数量、告警数量、待处理告警事件、日志数量、威胁趋势、威胁类型、威胁命中次数从大至小排序前5名的威胁名称信息及告警事件列表。
- 威胁趋势:查看今日、近7天或近30天的检测趋势和告警趋势的线型趋势图,可查看某一时刻的检测数量和告警数量,助您了解资产的风险趋势变化和安全态势。
- 威胁类型:查看今日、近7天或近30天的威胁包含的类型。模块中间部分显示已检测到威胁类型,模块下方显示微步情报在线可检测的所有威胁类型,包含APT、团伙、事件、家族、其他。
- 威胁名称TOP5:查看今日、近7天或近30天的威胁命中次数从大至小排序前5名的威胁名称信息。
- 威胁趋势:查看今日、近7天或近30天的检测趋势和告警趋势的线型趋势图,可查看某一时刻的检测数量和告警数量,助您了解资产的风险趋势变化和安全态势。
步骤二:查看威胁情报的告警事件
在威胁情报页面下方,查看今日、近7天或近30天的威胁告警事件列表信息,包括主机、威胁类型、命中IOC、严重级别、命中次数、最近一次发现时间、处置状态等。
执行以下操作,查看告警事件详情。
- 搜索告警事件:根据威胁类型、处置状态(已处置、未处置)或输入主机IP筛选定位到特定的告警事件。
说明 主机IP不支持模糊搜索,请输入准确的主机IP地址。
- 查看告警明细:单击目标主机操作栏下的告警明细,查看目标主机的告警源信息,包括时间、源端口、DNS服务器、DNS端口、DNS查询类型。
- 查看命中的IOC详情:单击目标主机命中IOC栏下的IOC名称查看IOC详情,包括基础信息、IP地址、历史解析记录、子域名、当前注册信息、相关事件、可疑URL、相关样本、下载样本、SSL数字证书。
说明 单击对应配置项页签可展开该配置详情。
- 导出告警事件:单击导出按钮,将检测到的所有告警统一导出并保存CSV文件到本地。
步骤三:处理威胁情报的告警事件
根据威胁告警事件详情,分析定位并处理微步在线检测出的被控主机安全威胁告警事件。
完成处理主机的告警事件后,在告警事件列表定位到该主机,单击主机处置状态栏的按钮,标记主机的威胁告警处置状态为已处置。
