天眼使用指南--分析平台

news2024/11/14 6:44:48

#天眼分析平台

 提供全面的溯源分析能力,涵盖图中模块。负责存储日志,分为三类,告警日志

告警日志:来自探针和沙箱的告警,探针的告警可以记录双向完整对话,如果网络流量中没有恶意信息,就会储存一些关键信息,如http请求部分状态码,tcp上下前一百字节,包的大小等等;记录下来形成网络日志存储,存到日志平台里面。

天眼还存储终端日志,终端日志记录了mac地址,dns信息,进程端口信息,

分析平台和传感器的区别,分析平台的存储空间比传感器大得多。

#检测中心一些功能

 有个八个维度,自己去选择展示就可以了。。

#检测中心

看和那些设备进行联动了,可以去查看

 #检测中心-工作台

这个跟着他可以自定义配置重点检测,一些常见的高危漏洞都可以自己去配置,还有一些其他的服务,dns服务分析,行为分析,等等一系列。资产感知可以配置一些资产管理,发现,配置一些证书和设备监控

#检测中心-态势感知

使用2k。4k分辨率吧,推荐用谷歌浏览器。

#检测中心-态势感知高级版

这个支持下钻的,安装态势胶囊就行了,就可以下钻到更详细的对方,展示的都差不多,更方便高清一些。

 #分析平台-威胁感知

 流量传感器,威胁文件鉴定器,日志等等所以告警都汇聚到这里来进行一个展示。

#威胁感知-检索

 可以查看历史检索,还有高级检索自定义搜查等等

 当我们发现有一些告警时,发现可疑行为,我们会去看他的流量,日志,看他是否有动作,就来到分析中心来检索他的日志,分为告警日志,网络日志,终端日志

告警日志分为,威胁告警,webshell上传,网页漏洞利用,网络攻击,威胁情报告警,杀向警告告警等等。有九种。

网络日志:传感器的协议解析日志,细分为tcp流量,udp流量,域名解析,文件传输等十五种

终端日志:天擎中端产生的,细分为u盘,文件传输,邮件附件传输,im文件传输,一共五类。

分析中心分两个部分,资产分组展示和日志内容展示部分。

图中就类似左边是配置项,右边是日志展示,点击可以详细。

#分析中心-行为分析

 分为七大模块,每个模块都有自己的对应场景,根据多种类型,检测用户的不正常行为,dns服务分析,根据名字就能判断出来,可能包括dns解析,dns服务发现,链路劫持等等;

重点弱口令对一些密码的明文泄露,各种ssh,特权账号登录进行展示;

 全包区中分析:根据用户查询条件,或者告警中提取线索,从区中分析提取皮卡包,解析,去看相应的趋势图和协议树等等

天眼狩猎:以用户提供的线索,进行一个全库的查询,输出线索相关数据,包括暴力破解,失陷主机,访问关系等一系列线索。

#发现中心-相应处理

 包括,处置编排,策略管理,处置记录,联动记录。

处置编排:提供系统的内置任务脚本,联动服务,工作流程,支持用户自定义

策略管理:策略定义,策略联动。策略定义就是一个处置策略,需要引用用户的自定义工作流程,怎么去处理这个事件,可以去看看旁边左边预制的工作流程。

处置记录:对告警处置之后,在这里会产生一个工作运行记录,点击可以详细。

#分析中心-资产感知

包括了资产,脆弱性,配置检查,补天漏洞,

资产:资产管理,发现,,互访,每个模块都是对资产不同的维度进行展示;客户录入资产之后,绑定名称,之后产生告警,可以快速定位那些资产区产生告警。

脆弱:漏洞的知识库管理,客户导入本地漏洞库之后可以进行一个管理,二可以查看资产漏洞的信息。

配置核查 :行为分析里面三种与资产相关的配置信息,包含弱口令。明文。密码泄露。风险带你看暴露,根据同一个资产统计出三种配置类型综合展示。

补天漏洞:配合补天平台。

#分析中心-报告报表

 包括快速报表,周期报表,报表模板

快速报表:就是对导出的信息一个快速的报表,我们可以自己新建去选择类型统计,进行导出

周期报表:选择周期性或立即生成天眼的安全感知报告,里面都有统计,定期模板类型的报表

报表模板,自定义一个模板,关注的信息

# 分析中心-更多

包括,安全服务,扩展程序,第三方日志

安全服务:提供告警,数据到此处,报表下载功能

扩展程序:添加插件

第三方日志:其他的平台进行一个手机,存储到分析平台的es当中,第三方等等。

#分析中心-重保

 自定义黑ip离线导入,提前找好离线的黑ip,进行导入就ok。

重保演习主要为了护网事件所设定,用户可以自定义护网任务,根据用户所选择的资产组进 行重点关注。护网任务一共包含三个阶段:备战阶段、实战阶段、战后任务列表。
[自定义黑 IP] 可通过本地录入和离线导入两 种方式导入黑 IP。其中本地录入支持手动添加黑 IP 和从本地批量上传黑 IP 两种方式离线导入 方式数据导出和离线导入两种模作。若未安装或激活黑 P 插件,点击[导出统计数据] 按钒,则 会跳转至扩展程序配置页面:若已安装并激活黑 IP 插件,点击[导出统计数据] 按钮,则跳转至 [扩展程序] ->[告警分析]页面

导入这些ip就会对这些ip产生告警,并展示出来。

分析平台也有全区导航。

#分析平台-系统管理

 包含了基础配置,联动管理,审计管理,规则管理,设备管理。

 系统升级,威胁区别升级,漏洞情报导入,自行导入。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/758159.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

windows Server 2008 R2服务器IIS环境启用TLS 1.2

windows Server 2008 R2服务器IIS环境启用TLS 1.2,配置TLS1.2 分为2步, 添加TLS配置和禁用老的SSL版本,提供两种方法, 选择其中一种就行了,手动设置 打开注册表,运行regedit,找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentCo…

【hadoop】在linux上设置Hadoop的环境变量

设置Hadoop的环境变量 解压压缩包编辑环境变量激活环境变量 解压压缩包 使用下面命令对hadoop的压缩包进行解压 tar -zxvf hadoop-2.7.3.tar.gz -C ~/training/编辑环境变量 在linux中,~/.bash_profile文件是设置环境变量的文件,我们使用vi进行编辑。…

Verdi之波形展示nWave

6.nWave 6.1 添加波形文件 1.打开nWave界面,具体操作如下: 2.正式添加波形,使用快捷键G或者点击以下图标,选择需要的信号。 也可以在 n Trace中选中信号后,鼠标中键拖拽,或者ctrlw进行添加; 6…

Dreamweaver批量替换所有超链接替换成#

需求:想要将页面所有链接地址替换为#。 方法一 CTRLF打开“查找和替换”,勾选“使用正则表达式” 查找 href"([\s\S]*?)" 替换为 href"#" 副作用:样式表链接地址也会被替换为#,需提前备份。 方法二 也可以查…

CAN总线(二)CAN协议的帧格式(一文看懂CAN的报文结构)

如果只是使用CAN进行CAN通讯,可以粗略看下以下内容,主要了解下数据字段,但了解一下其他内容有助于使用CAN通讯。 一、CAN总线协议规范 CAN报文有两种不同的格式:标准格式和扩展格式,前者的标志符长度是11位,而后者的标志符长度可达29位。 CAN协议的2.0A版本规定CAN控制…

Git -> 创建第一个本地repo

创建一个本地仓库及提交文件 打开Git Bash执行以下命令 // 切换至d盘 cd d: // 新建文件夹 mkdir my_first_local_repo // 切换至新建文件夹 cd my_first_local_repo假设my_first_local_repo文件夹下有以下文件 初始化git仓库 // 在当前文件夹初始化git仓库 git init.gi…

【stable diffusion】保姆级入门课程-Stable diffusion(SD)介绍与安装

目录 0.学前准备 1.什么是AI绘画 2.当前主流的AI绘画工具 3.什么是SD(stable diffusion) 4.SD能做什么 1.文生图 2.图生图 3.AI换模特,背景 5.使用stable diffusion配置要求 6.环境配置与安装 需要注意的地方: 扩展知识: 1.pyth…

Linux学习之环境变量配置文件

配置文件的执行先后顺序如下: /etc/profile $HOME/.bash_profile $HOME/.bashrc /etc/bashrc vim /etc/profile,把echo "/etc/profile"写到第一行,head -n 1 /etc/profile看一下/etc/profile里边第一行内容。 vim $HOME/.bash_pr…

工作:三菱PLC之CC-Link IE Field Network通讯知识及应用

工作:三菱PLC之CC-Link IE Field Network通讯知识及应用 一、理论 1. 简介连接 CC-LINK-IE通讯分别有 CC-Link IE TSN,CC-Link IE Control Network,CC-Link IE Field Network,CC-Link IE Field Network Basic几种形式&#xff…

38译码器

文章目录 38译码器一、38译码器介绍二、项目代码三、仿真代码四、仿真结果 五、总结 38译码器 一、38译码器介绍 38译码器是一种常用的逻辑电路元件,用于将一个3位二进制输入编码转换成8个输出信号之一。它具有多个输入引脚和多个输出引脚。 通常,38译…

Linux下Lua和C++交互

前言 lua(wiki 中文 官方社区:lua-users)是一门开源、简明、可扩展且高效的弱类型解释型脚本语言。 由于其实现遵循C标准,它几乎能在所有的平台(windows、linux、MacOS、Android、iOS、PlayStation、XBox、wii等&…

【Modbus】Modbus协议讲解

Modbus协议讲解 前言一、串口通讯简介二、RS485串口通讯RS485通讯标准的由来(了解)RS485特点RS-485终端电阻的选择 三、Modbus协议四、Modbus报文范例 前言 本篇是我参加工作培训时,作为记录笔记用的,因此写的方式不会像前面那些系…

Ceph(分布式文件系统)

Ceph(分布式文件系统) 1、存储基础 单机存储设备 ●DAS(直接附加存储,是直接接到计算机的主板总线上去的存储) IDE、SATA、SCSI、SAS、USB 接口的磁盘 所谓接口就是一种存储设备驱动下的磁盘设备,提供块级别的存储 ●NAS&#xf…

详解RocketMQ使用

目录 1.环境 2.生产者、消费者的模式 3.顺序消息 4.广播消息 5.延迟消息 6.批量消息 7.过滤消息 8.事务消息 本文着重聊的是RocketMQ的编程模型,下载安装和概念可以移步博主的另外两篇博文: RocketMQ基础概念__BugMan的博客-CSDN博客 RocketMQ…

dede编辑器修改成纯文本编辑器的方法

我在做优秀啦网站大全的时候需要的正文内容都不需要设置什么文字样式,所以我需要把编辑器上的工具全部取消掉,包括会员投稿中的编辑器工具栏全部取消掉或者屏蔽隐藏掉,所以我需要把DEDE编辑器修改成纯文本编辑器的方法如下:如图&a…

一文教你如何优雅地配置树莓派的静态IP、中文环境

引言: 树莓派的静态IP配置与ubuntu这些都是类似的,毕竟都是linux,只要会一个,其他的看一遍就会了。 目录 配置树莓派的静态IP 1、确定树莓派的网络接口 2、编辑网络配置文件: 3、设置静态IP地址: 4、…

JavaWeb 速通Tomcat

目录 一、拾枝杂谈 1.web服务器说明 : 2.常用web服务软件 : 二、Tomcat服务 1.Tomcat下载和安装 : 2.启动Tomcat服务 : 3.Tomcat启动的注意事项 : 4.关闭Tomcat服务 : 三、Tomcat部署 1.Tomcat目录结构说明 : 1 bin 2.conf 3 lib 4 logs 5 temp 6 webapps 7 work 2.关…

golang单元测试及mock总结

文章目录 一、前言1、单测的定位2、vscode中生成单测 二、构造测试case的注意事项1、项目初始化2、构造空interface{}3、构造结构体的time.Time类型4、构造json格式的test case 三、运行单测文件1、整体运行单测文件2、运行单个单测文件报错(1)command-l…

fileclude

背景知识 文件包含漏洞 题目 分析上述代码 file2被放入file_get_contents()函数,且要求返回值为hello ctf file1是要包含的文件,放在include函数中 用php://filter伪协议读取源代码 构造payload: file1php://filter/readconvert.base64-…

Loki+Promtail+Grafana 监控 K8s 日志

Loki 架构: 1、loki:服务端,负责存储日志和处理查询 2、promtail:采集端,负责采集日志发送给loki 3、grafana:负责采集日志的展示 创建 yaml 文件 cat loki-rbac.yaml apiVersion: v1 kind: ServiceAccount…