天眼的使用指南,ngsoc告警分析

news2024/12/28 6:15:14

分以下几类讲,天眼的功能,日志分析字段,常见的烂分析,告警分析。两个实例;ngsoc的简单实用和告警分析。

#天眼功能

分为,分析平台,流量传感器,文件威胁鉴定器

#部署架构

高级危险检测,溯源的产品。提供了发现,分析,溯源这三个功能,

主要发现网络攻击事件,结合其他安全设备,去进行即使阻断网络攻击;并对攻击成功的事件进行一个溯源分析;

天眼这个还可以其他设备进行联动的,比如天擎的ed联动。

一种云的服务,流量传感器和文件威胁鉴定器,分析平台和云端的威胁情报服务。

流量传感器:接受流量的镜像还原成一个流量日志(全量还原),为天眼系统提供全流量的数据来源和数据的输入;

分析平台:存储全量的日志和一个分析结果,提供面向客户的业务和交互式的页面。

文件威胁鉴定器:和流量传感器进行一个联动,去流量传感器上面的文件去配合检索引擎进行文件的一个告警分析。

#部署场景

 这是br结构。流量传感器就是通过接受用户的流量的镜像,提供网络异常的一种检测,提供一个系统统一管理接口,用户可以访问浏览器直接打开。文件威胁鉴定器就是沙箱和传感器进行联动,收集日志,采用多种混合检测引擎产生告警。分析平台也是对传感器联动,统一的管理和日志告警分析。

#大概流程

第一步就是探针,传感器从数据源上采取数据,然后进入第二部检测,进行一些检测,文件就用沙箱检测,再搭配上二十多种机器学习的行为,从而达到精确事件和新的事件线索;进行一个调查的的分析溯源一个攻击链。

#设备介绍-流量传感器

 主要对网络流量进行一个解码,还原出一个真实的网络流量,提取的是网络层,传出层,应用层的同步信息,复杂信息,同时对流量中文件进行还原,这些信息通过加密通道发送到分析平台或威胁鉴定器统一的处理,在ipv4,ipv6的网页下支持主流的发邮件等高性能的分析。

#天眼流量传感器界面

 #状态监听界面

这个页面的初始页面什么都展示,然后可以自己选择展示那些,勾选,点击刷新显示最新的数据,支持自动刷新。

设备连接状态是和其他的设备(分享平台,文件威胁鉴定器等等)是什么状态,链接还是断开,数量多少。

设备列表,展示配置,分享平台等等的数据状态,服务器地址,连接的状态,和其他的比如系统信息包括序列化,系统版本,规则版本,可以进行版本更新

授权信息,展示客户的证书,包括客户的名称,有效期等等

资源占用,系统cpu,内存,磁盘的使用状态

#威胁告警-告警列表

 进行告警分析用到这个模块,通过里面的告警点开详情进行一个分析,可以输入添加过滤告警,支持查询的条件缓存到一个历史记录,并且将某条记录添加到,根据各种 组合能查到相对于的告警统计图,有很多图形,根据自己设定的条件。

#规则配置 分为四个模块,网页漏洞利用,webshell上传,网络攻击,自定义规则。其中三个模块网页漏洞利用,webshell上传,网络攻击,这里就是预制了一些规则,点开详情去看怎么命中的以及详细信息,下面以及有自定义规则。可以自己配置

 威胁情报,我们可以添加域名,请求的ioc,如果这个ioc是恶意的,如果在威胁平台上面是恶意的,但是在这里没有告警,就可以添加进去

#规则配置

 导入的话是上面那三种格式,导出的话可以进行一个全部的导出。导入的话写很多ioc啊选择好一个格式啊进行导入。

#威胁检测 

 提供了开启和关闭的功能,还能配置一些高级参数,弱口令自己输入字典,其他的启停操作,检测,启动了才能检测,

#xff头

 因为流量经过不同设备,或代理调整,ip可能被替换,所以会有xff配置,开启就会去识别真正的源ip,

#弱口令

 弱口令检测功能支持很多协议,支持通过告警中明源显示弱口令开关,控制是否在告警中明源显示弱口令信息,导入字典支持txt格式。

#流量记录

 流量负载记录,支持tcp,udp等等流量上下行的负载长度,默认是开启状态,预制提供了一百,五百,一千的三种选项,不提供自定义

流量过滤,提供了指定ip,ip段流量的过滤,提供高级过滤,支持提供dpf,端口,ip,mac过滤,支持流量的导入导出功能,默认是关闭的,

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/754421.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

大模型时代,腾讯云“复制”腾讯|WAIC2023

点击关注 文|郝鑫 编|刘雨琦 刚过去的WAIC(世界人工智能大会)俨然成为了大模型厂商的成果汇报大会。 百度文心大模型升级到3.5版本,训练速度提升2倍,推理速度提升30倍;华为云发布盘古大模型3…

MySQL~索引的优缺点是什么?有哪些优化索引的方法?

1.索引的优缺点 优点:提高查询记录的速度。 缺点: 需要占用空间,索引是一种用空间换时间的做法创建索引和维护索引都需要消耗时间,会降低表的增删查改效率,因为每次进行增删查改,都需要对索引进行维护&a…

Nacos技术

说明:Nacos是微服务框架中的注册中心技术,可用于管理、协调微服务之间的请求,可配合Feign技术,搭建一个完整的微服务框架。 一、安装&启动 可在官网(https://nacos.io/zh-cn/)提供的下载链接&#xf…

【uni-app】自定义导航栏

【uni-app】自定义导航栏 新手刚玩uniapp进行微信小程序,甚至多端的开发。原生uniapp的导航栏,并不能满足ui的需求,所以各种查阅资料,导航栏自定义内容 整理如下: 需要修改的文件如下: 1、pages.json 修…

前端渲染模式CSR,SSR,SSG,ISR,DPR

目录 一、客户端渲染——CSR(Client Side Rendering) 二、服务器端渲染——SSR(Server Side Rendering) 三、静态站点生成——SSG(Static Site Generation) 四、增量静态生成——ISR(Increm…

ASEMI快恢复二极管MUR2080CT参数, MUR2080CT规格

编辑-Z MUR2080CT参数描述: 型号:MUR2080CT 最大峰值反向电压(VRRM):800V 最大RMS电压(VRMS):430V 最大直流阻断电压VR(DC):800V 平均整流正向电流(IF):20A 非重复峰值浪涌电流(IFSM):15…

科技赋能企业,实现数字化转型

科技是第一生产力,数字技术即科技,可以改变传统的商业模式,为各行各业注入新的活力。 推动企业数字化转型,可是实现行业的效率提升,实现跨界重组,重构产业模式,为产业格局重新赋能,最…

批发小程序怎么做

批发订货小程序功能介绍 我们的批发订货小程序是一个集订货浏览权限、一客一价、业务员端口、代客下单、订单汇总和订单打印等功能于一体的专业平台。以下是对这些功能的详细描述: 1. 订货浏览权限:我们的小程序可以为不同用户分配不同的订货浏览权限。…

山寨版 Threads登苹果下载榜第一,黑客借此分发恶意软件

最近,苹果在欧洲下架了一款假冒的Threads应用程序,有意思的是该APP吸引了大量的用户下载,最高峰时曾登录苹果下载榜第一名。 在发现该虚假APP后,苹果已经暂停了其开发者账户,随后更是将SocialKit LTD所有的应用程序全…

做PPT一定要知道这5个素材模板网站。

做PPT绝对不能错过的5个网站、PPT素材、PPT模板、PPT课件、PPT教程等全部都能免费下载,建议收藏! 菜鸟图库 https://www.sucai999.com/search/ppt/0_0_0_1.html?vNTYwNDUx 菜鸟图库网有非常丰富的免费素材,像设计类、办公类、自媒体类等素材…

DBeaver数据库管理工具安装连接PostgreSQL和DM

文章目录 1. 安装2. 连接PostgreSQL3. 连接DM83.1 下载驱动3.2 添加驱动3.3 连接3.4 创建表空间和用户3.5 执行sql 1. 安装 下载地址 https://dbeaver.io/download/ 2. 连接PostgreSQL 配置显示所有数据库 第二个勾选会显示模板数据库 点击测试连接,然后下载驱动…

Helm 安装prometheus-stack 使用local pv持久化存储数据

目录 背景: 环境准备: 1. 磁盘准备 2. 磁盘分区格式化 local storage部署 1. 节点打标签 2. 创建local pv storageClass和prometheus-pv Prometheus-stack部署 1. 下载helm chart包 2. values.yaml 参数解释 3. 部署prometheus-stack 4. 查看…

运行软件plotsr时报错:“ImportError: Incomplete genomic information”

为了对 syri.out (assembly的变异检测结果)进行可视化处理,本人选择了plotsr软件对其基因组重排现象进行可视化: (base) [hgzhonghead01 08.assembly_calling]$ plotsr --sr syri.out --genomes ../data/Sc_R64.fasta --genomes …

什么是搜索引擎?2023 年搜索引擎如何运作?

目录 什么是搜索引擎?搜索引擎的原理什么是搜索引擎爬取?什么是搜索引擎索引?什么是搜索引擎检索?什么是搜索引擎排序? 搜索引擎的目的是什么?搜索引擎如何赚钱?搜索引擎如何建立索引?网页抓取文本处理建…

全网最细,接口自动化测试-数据库操作与日志模块,一篇打通...

目录:导读 前言一、Python编程入门到精通二、接口自动化项目实战三、Web自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结(尾部小惊喜) 前言 进行接口测试时&a…

Unity Shader - SV_POSITION 和 TEXCOORD[N] 的varying 在 fragment shader 中输出的区别

起因 因另一个TA同学问了一个问题 我抱着怀疑的心态,测试了一下 发现 varying 中的 sv_position 和 texcoord 的值再 fragment shader 阶段还真的不一样 而且 sv_position 还不是简单的 clipPos/clipPos.w 的操作 因此我自己做了一个试验: 结果还是不一…

Ext4文件系统介绍 - 实战篇

本文主要通过dd,hexdump和dumpe2fs工具分析ext4的磁盘二进制数据,加深对ext4文件系统的印象,要想理解本建议先阅读下Ext4文件系统介绍 - 理论篇_nginux的博客-CSDN博客。 磁盘超级块数据分析 根据理论篇我们知道ext4 layout中前1024字节是x…

Flask 使用Flask的session来保存用户登录状态例子

使用Python的Flask库实现的登录接口、查询金额接口和注销接口的示例。 当用户发送POST请求到/login接口时,代码会获取请求中的用户名和密码。如果用户名和密码匹配(在示例中是admin和admin123),则会将用户名保存在session中&…

Scratch 放置建筑

Scratch 放置建筑 本程序的功能是放置和删除建筑。点击鼠标时建筑会复制并从初始位置向鼠标指针移动,每次复制都更换外观,距离鼠标指针较近时停止移动并调至垂直方向,延时0.5秒。延时过后鼠标指针接触到建筑每隔0.1秒进行判断,3次…

HOT62-N皇后

leetcode原题链接:N皇后 题目描述 按照国际象棋的规则,皇后可以攻击与之处在同一行或同一列或同一斜线上的棋子。 n 皇后问题 研究的是如何将 n 个皇后放置在 nn 的棋盘上,并且使皇后彼此之间不能相互攻击。 给你一个整数 n ,返…