分以下几类讲，天眼的功能，日志分析字段，常见的烂分析，告警分析。两个实例；ngsoc的简单实用和告警分析。

#天眼功能

分为，分析平台，流量传感器，文件威胁鉴定器

#部署架构

高级危险检测，溯源的产品。提供了发现，分析，溯源这三个功能，

主要发现网络攻击事件，结合其他安全设备，去进行即使阻断网络攻击；并对攻击成功的事件进行一个溯源分析；

天眼这个还可以其他设备进行联动的，比如天擎的ed联动。

一种云的服务，流量传感器和文件威胁鉴定器，分析平台和云端的威胁情报服务。

流量传感器：接受流量的镜像还原成一个流量日志（全量还原），为天眼系统提供全流量的数据来源和数据的输入；

分析平台：存储全量的日志和一个分析结果，提供面向客户的业务和交互式的页面。

文件威胁鉴定器：和流量传感器进行一个联动，去流量传感器上面的文件去配合检索引擎进行文件的一个告警分析。

#部署场景

 这是br结构。流量传感器就是通过接受用户的流量的镜像，提供网络异常的一种检测，提供一个系统统一管理接口，用户可以访问浏览器直接打开。文件威胁鉴定器就是沙箱和传感器进行联动，收集日志，采用多种混合检测引擎产生告警。分析平台也是对传感器联动，统一的管理和日志告警分析。

#大概流程

第一步就是探针，传感器从数据源上采取数据，然后进入第二部检测，进行一些检测，文件就用沙箱检测，再搭配上二十多种机器学习的行为，从而达到精确事件和新的事件线索；进行一个调查的的分析溯源一个攻击链。

#设备介绍-流量传感器

 主要对网络流量进行一个解码，还原出一个真实的网络流量，提取的是网络层，传出层，应用层的同步信息，复杂信息，同时对流量中文件进行还原，这些信息通过加密通道发送到分析平台或威胁鉴定器统一的处理，在ipv4，ipv6的网页下支持主流的发邮件等高性能的分析。

#天眼流量传感器界面

 #状态监听界面

这个页面的初始页面什么都展示，然后可以自己选择展示那些，勾选，点击刷新显示最新的数据，支持自动刷新。

设备连接状态是和其他的设备（分享平台，文件威胁鉴定器等等）是什么状态，链接还是断开，数量多少。

设备列表，展示配置，分享平台等等的数据状态，服务器地址，连接的状态，和其他的比如系统信息包括序列化，系统版本，规则版本，可以进行版本更新

授权信息，展示客户的证书，包括客户的名称，有效期等等

资源占用，系统cpu，内存，磁盘的使用状态

#威胁告警-告警列表

 进行告警分析用到这个模块，通过里面的告警点开详情进行一个分析，可以输入添加过滤告警，支持查询的条件缓存到一个历史记录，并且将某条记录添加到，根据各种 组合能查到相对于的告警统计图，有很多图形，根据自己设定的条件。

#规则配置 分为四个模块，网页漏洞利用，webshell上传，网络攻击，自定义规则。其中三个模块网页漏洞利用，webshell上传，网络攻击，这里就是预制了一些规则，点开详情去看怎么命中的以及详细信息，下面以及有自定义规则。可以自己配置

 威胁情报，我们可以添加域名，请求的ioc，如果这个ioc是恶意的，如果在威胁平台上面是恶意的，但是在这里没有告警，就可以添加进去

#规则配置

 导入的话是上面那三种格式，导出的话可以进行一个全部的导出。导入的话写很多ioc啊选择好一个格式啊进行导入。

#威胁检测 

 提供了开启和关闭的功能，还能配置一些高级参数，弱口令自己输入字典，其他的启停操作，检测，启动了才能检测，

#xff头

 因为流量经过不同设备，或代理调整，ip可能被替换，所以会有xff配置，开启就会去识别真正的源ip，

#弱口令

 弱口令检测功能支持很多协议，支持通过告警中明源显示弱口令开关，控制是否在告警中明源显示弱口令信息，导入字典支持txt格式。

#流量记录

 流量负载记录，支持tcp，udp等等流量上下行的负载长度，默认是开启状态，预制提供了一百，五百，一千的三种选项，不提供自定义

流量过滤，提供了指定ip，ip段流量的过滤，提供高级过滤，支持提供dpf，端口，ip，mac过滤，支持流量的导入导出功能，默认是关闭的，