说明:
iOA 零信任安全管理系统(SaaS)11.1.1版本灰度发布中,当前暂未全量更新。
数据统计&筛选
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择终端防入侵 > 高级威胁防护(EDR)>威胁事件。
2. 在威胁事件统计页面,支持查看威胁事件发生趋势,同时会按照钓鱼、勒索、横向移动进行场景化数据统计。
①支持时间段选择:今天、近7天、近30天以及自由选择时间查询。
②单击事件数据信息,可按统计数据筛选。
③单击导出,导出日志信息。
3. 事件聚合区分精准模式以及ATT&CK模式,选择精准模式即可将含有恶意文件和威胁情报的事件一键过滤展示,突出重要事件,降低运营压力。
4. 事件聚合时间支持自定义,默认1天,可通过缩短聚合时间查看最近关联的告警。
批量处理调查状态
某个事件调整:单击调查状态
批量调整:支持勾选多个威胁事件,单击批量处理调查状态,选择将事件状态调整为新事件、调查中、已完成。
事件关联告警和处置
1. 单击事件名称右侧的
2. 在处置页面,单击配置,支持调整需要处置的证据/终端。
配置:可以对该证据下发阻断网络连接等处置任务。选择阻断/恢复阻断,单击确定。
终端:支持针对该事件关联的终端进行处置,选择隔离终端/恢复终端隔离,单击确定。
威胁事件调查
在事件调查页面,用户可以看到整个威胁事件中证据、告警与终端的关联关系,通过溯源图可以梳理整个威胁事件的发生流程,进而对该事件进行研判以及处置。
1. 在威胁事件列表中,单击调查或事件名称,进入事件调查页面。
2. 在事件调查页面,单击详情查看复现攻击者行为链路。
3. 在溯源图中单击实体,左侧展示该实体的具体信息,包含鉴定信息、进程行为、关联信息(关联告警、资产)。
3.1 单击溯源查看溯源图,在溯源图中可以明确知悉恶意文件/进程创建的过程,进而帮助用户更好地确认威胁事件发生的关键,并针对性解决问题,溯源图中的每一个节点都可以单击展示该节点的详细信息,查看恶意文件/进程创建的过程。
4. 支持对该事件进行威胁处置,研判、评论、以及 AI 分析威胁事件。
4.1 单击威胁处置,选择目标实体,单击配置,可隔离/恢复隔离终端。
4.2 单击研判,支持手动标注(研判)等级,支持对事件的严重等级进行手动标注为高、中、低危风险。
4.3 支持将手动研判的等级覆盖系统判定的严重等级,进而在威胁事件页可直观看到风险数统计。
4.4 若配置为覆盖系统判定严重级别后,在威胁事件页,将按照新的研判等级进行展示。
4.5 威胁事件研判结果新增详情,经过人工研判的事件可查看历史研判详情。
4.6 评论:对该事件添加评论。
4.7 AI分析:AI智能分析该威胁事件。
5. 切换页面到活动告警,支持查看该事件下所有的告警信息,单击具体的告警名称/ID可以查看告警详情。
6. 切换页面到资产,可以看到对应产生告警的终端,单击展开可以看到该终端下所有的告警信息,单击终端名称可看到对应的终端信息。
7. 切换页面到证据,可以看到当前威胁事件下所有的证据信息,按照全部、进程、文件、网络进行分类,单击名称可以看到该证据详情以及关联的资产和告警。
8. 证据列表根据文件标签进行分类呈现,仅展示有标签的证据,减少非关键性证据。
