包含了静态检测,
主要负责对传感器,手东提交url等多种数据来源的一些通道,过来的一些样本进行检测。
检测过程:威胁情报的匹配,沙箱检测。及时发现恶意行为和文件进行告警,传给天眼分析平台统一的分析。提供威胁文件鉴定器进行一种高级的威胁检测,可以接受大量来自传感器pe和非pe的文件,使用静态,动态检测,沙箱检测等一些无签名的检测方法,传感器无法检测的,会一报告的形式去看。
图中就用一些静态检测的引擎。
最下面综合打分在90以上,就是恶意文件
#检测能力
基本功能
web登录页面
#进程监控
展示了图中所示的消息,进程信息,异常行为,状态啊等等,消息提示展示,告警
#状态监控
分为状态监控,文件告警,提交检测,样本查询,策略管理,系统配置六个模块
监控这里展示了一些送检文件数,告警文件数,受攻击ip,邮件告警事件,的数目点击就可以详细查看。
#态势图
渠道文件统计:发过来的样本有多少高危中危低危都有统计
#设备使用状态监控
cpu利用率,内存占用,数据磁盘展示;还有其他攻击信息的展示。
#文件告警
如图中展示
#提交检查-本地文件提交
用户提交文件到分析平台去检查。如图中所示有模式选择等等
#提交检测-ftp
批量提交文件,远程提交,通过配置检测选项,是文件威胁鉴定器可以从ftp指定路径直接获取文件,会进行检测。
#提交检测,smb文件
和上一个一样不过是从smb指定路径获取。
#提交检测记录
手动提交文件的结果展示,和如图中的功能。
#样本查询
提供了查询,并展示文件的接受事件,文件md5,静态检测的结果,操作页面的跳转信息,查询到样本可以跳转到文件告警页面,或提交检测页面等进一步查看文件检测信息,
#检测策略
默认就可以。
#系统配置-常规配置
如图所示的内容展示,到达自己设置的值就会相应的提示。
#系统配置-系统时间 如图所示
#系统配置-网络管理
可以配置图中展示的东西
这个是代理服务器,默认是关闭的,想开启的话就自己去开和配置。
系统配置-安全性配置
去配置一些平台的安全性,图中所示那些,
#系统配置-用户配置
如图中所示。
#系统配置-审计日志
记录当前管理的配置操作。
#系统配置-证书导入系统授权管理功能,包括系统信息的导出更新操作,等等。
#系统配置-设备升级
如图所示。
设备升级,
威胁情报升级需要上传文件包去升级,升级日志,可以查看升级的操作。
建议自动更新。
#系统配置-系统维护
开关机,系统日志的导出,调试日志,包含了引擎工作的状态;
配置syslog的传输方式,可以理解为syslog日志外发的模式与其他设备进行一个联动, snmb模式两个也都是默认关闭的,如图提示。