统计和筛选数据
1. 登录iOA 零信任管理平台控制台,在左侧导航栏,选择高级威胁检测与响应 > 威胁告警。
2. 在告警展示统计页面,支持根据告警维度以及 ATT&CK 技术战术维度统计相应的告警信息及其发生趋势图,同时会根据钓鱼、勒索、横向移动等场景进行数据统计。
①时间筛选,近7天、10天、30天自定义。
②统计筛选,在统计页面,可以直接单击钓鱼告警、勒索告警、横移告警的统计数据对列表内容进行筛选。
③支持按告警名称、终端名称、企业账户、告警 ID、攻击详情快速搜索。
④条件筛选,展开左侧导航可按照告警名称、文件名、源 IP、目标 IP、风险等级、攻击场景等条件进行筛选。
⑤表内筛选,在列表内部,用户可在表头直接对目标内容进行检索。
导出数据
1. 在威胁告警页面,勾选告警列表目标数据,单击导出。
2. 在导出页面,支持自定义表头,可选择目标导出的字段以及导出时间范围,导出格式默认为 CSV,单击确定。
自定义列表管理
在威胁告警列表中,单击右上角
按告警查看
1. 在按告警查看页面,单击
2. 在按告警查看页面,单击告警名称/ID,将展示告警详情。这些详情信息包括告警基础信息、命中规则、攻击详情、证据列表以及相应的影响资产。
3. 在告警详情的证据列表中,单击证据名称,展示该告警证据实体信息,包含进程、文件、网络等实体,其中每个除展示证据基本信息外,也会展示该证据关联告警信息以及影响资产。
4. 攻击溯源:单击攻击溯源,可以查看引发该告警进程/文件创建溯源图。
5. 告警处置。
单击忽略,可以直接忽略该告警。
单击处置,可以处置该告警相关有威胁的实体,其中鉴定为安全的实体不可处置,鉴定为恶意和未知的实体可以下发进程隔离、文件隔离等任务。同时支持查看历史任务。
说明:
威胁鉴定为安全的证据暂不支持处置。
按终端查看告警
1. 登录iOA 零信任管理平台控制台,在左侧导航栏,选择高级威胁检测与响应 > 威胁告警。
2. 在威胁告警页面,支持按照终端查看产生的告警,用户可切换到该按终端查看页,查看产生告警的终端数据。
支持多维度检索。
单击
支持单击告警名称/ID查看告警详情以及处置该告警。
支持直接处置终端,单击处置,隔离终端。
