天眼的使用指南,ngsoc告警分析

这篇具有很好参考价值的文章主要介绍了天眼的使用指南,ngsoc告警分析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

分以下几类讲,天眼的功能,日志分析字段,常见的烂分析,告警分析。两个实例;ngsoc的简单实用和告警分析。

#天眼功能

分为,分析平台,流量传感器,文件威胁鉴定器

#部署架构

高级危险检测,溯源的产品。提供了发现,分析,溯源这三个功能,

主要发现网络攻击事件,结合其他安全设备,去进行即使阻断网络攻击;并对攻击成功的事件进行一个溯源分析;天眼的使用指南,ngsoc告警分析,网络

天眼这个还可以其他设备进行联动的,比如天擎的ed联动。

一种云的服务,流量传感器和文件威胁鉴定器,分析平台和云端的威胁情报服务。

流量传感器:接受流量的镜像还原成一个流量日志(全量还原),为天眼系统提供全流量的数据来源和数据的输入;

分析平台:存储全量的日志和一个分析结果,提供面向客户的业务和交互式的页面。

文件威胁鉴定器:和流量传感器进行一个联动,去流量传感器上面的文件去配合检索引擎进行文件的一个告警分析。

#部署场景

天眼的使用指南,ngsoc告警分析,网络

 这是br结构。流量传感器就是通过接受用户的流量的镜像,提供网络异常的一种检测,提供一个系统统一管理接口,用户可以访问浏览器直接打开。文件威胁鉴定器就是沙箱和传感器进行联动,收集日志,采用多种混合检测引擎产生告警。分析平台也是对传感器联动,统一的管理和日志告警分析。

#大概流程天眼的使用指南,ngsoc告警分析,网络

第一步就是探针,传感器从数据源上采取数据,然后进入第二部检测,进行一些检测,文件就用沙箱检测,再搭配上二十多种机器学习的行为,从而达到精确事件和新的事件线索;进行一个调查的的分析溯源一个攻击链。

#设备介绍-流量传感器

天眼的使用指南,ngsoc告警分析,网络

 主要对网络流量进行一个解码,还原出一个真实的网络流量,提取的是网络层,传出层,应用层的同步信息,复杂信息,同时对流量中文件进行还原,这些信息通过加密通道发送到分析平台或威胁鉴定器统一的处理,在ipv4,ipv6的网页下支持主流的发邮件等高性能的分析。

#天眼流量传感器界面

天眼的使用指南,ngsoc告警分析,网络

 #状态监听界面

天眼的使用指南,ngsoc告警分析,网络

这个页面的初始页面什么都展示,然后可以自己选择展示那些,勾选,点击刷新显示最新的数据,支持自动刷新。

设备连接状态是和其他的设备(分享平台,文件威胁鉴定器等等)是什么状态,链接还是断开,数量多少。

设备列表,展示配置,分享平台等等的数据状态,服务器地址,连接的状态,和其他的比如系统信息包括序列化,系统版本,规则版本,可以进行版本更新

授权信息,展示客户的证书,包括客户的名称,有效期等等

资源占用,系统cpu,内存,磁盘的使用状态

#威胁告警-告警列表天眼的使用指南,ngsoc告警分析,网络

 进行告警分析用到这个模块,通过里面的告警点开详情进行一个分析,可以输入添加过滤告警,支持查询的条件缓存到一个历史记录,并且将某条记录添加到,根据各种 组合能查到相对于的告警统计图,有很多图形,根据自己设定的条件。天眼的使用指南,ngsoc告警分析,网络

#规则配置天眼的使用指南,ngsoc告警分析,网络 分为四个模块,网页漏洞利用,webshell上传,网络攻击,自定义规则。其中三个模块网页漏洞利用,webshell上传,网络攻击,这里就是预制了一些规则,点开详情去看怎么命中的以及详细信息,下面以及有自定义规则。可以自己配置天眼的使用指南,ngsoc告警分析,网络

 威胁情报,我们可以添加域名,请求的ioc,如果这个ioc是恶意的,如果在威胁平台上面是恶意的,但是在这里没有告警,就可以添加进去

#规则配置

天眼的使用指南,ngsoc告警分析,网络

  1.  导入的话是上面那三种格式,导出的话可以进行一个全部的导出。导入的话写很多ioc啊选择好一个格式啊进行导入。

天眼的使用指南,ngsoc告警分析,网络

 提供了开启和关闭的功能,还能配置一些高级参数,弱口令自己输入字典,其他的启停操作,检测,启动了才能检测,

目录

#部署场景


天眼的使用指南,ngsoc告警分析,网络

 因为流量经过不同设备,或代理调整,ip可能被替换,所以会有xff配置,开启就会去识别真正的源ip,

#弱口令

天眼的使用指南,ngsoc告警分析,网络

 弱口令检测功能支持很多协议,支持通过告警中明源显示弱口令开关,控制是否在告警中明源显示弱口令信息,导入字典支持txt格式。

#流量记录

天眼的使用指南,ngsoc告警分析,网络

 流量负载记录,支持tcp,udp等等流量上下行的负载长度,默认是开启状态,预制提供了一百,五百,一千的三种选项,不提供自定义

流量过滤,提供了指定ip,ip段流量的过滤,提供高级过滤,支持提供dpf,端口,ip,mac过滤,支持流量的导入导出功能,默认是关闭的,

#文件还原天眼的使用指南,ngsoc告警分析,网络

 默认是开启,有88中文件类型可以还原,自己选择,默认大小是50mb,也可以自定义,配置好之后要点击保存。

#抓包检测天眼的使用指南,ngsoc告警分析,网络

 抓包只支持pcap的包,然后还要完成三次握手的,不然抓不全是没有告警的,导入上线是1g,单个数据包最大是500mb,导入的数据包里面流量日志,和告警都会发到分析平台,里面有文件也让会还原后发送到文件威胁鉴定器的。

#旁路阻断天眼的使用指南,ngsoc告警分析,网络

 默认配置。别乱搞了

#ssl解密

天眼的使用指南,ngsoc告警分析,网络

 这个 因为https是加密的流量抓了之后也不会告警,就要解密一下,导入证书,之后再去按照正常流程。

#白名单配置

是为了应对一些正常的业务请求被告警的适合,放到白名单里面

天眼的使用指南,ngsoc告警分析,网络

 系统管理是对流量传感器的管理,里面包括了很多东西,图中有的那些都可以配置,然后点保存。

#系统管理-升级配置天眼的使用指南,ngsoc告警分析,网络

建议自动升级。

#系统管理-数据传输设置

 它可以引用其他的模块,例如分析平台,和文件威胁鉴定器,之后新增ip和端口,设定好他是什么,再配置外发上面数据,告警,日志等等。

#系统管理-snmp配置天眼的使用指南,ngsoc告警分析,网络

 这个管理支持三个配置,配好v3才可以启动snmp trap,他由两个组成,连接性配置,消息内容的设置。

#系统管理-安全性设置天眼的使用指南,ngsoc告警分析,网络

 安全性设置可以配置登录设置,数据传输加密,敏感操作密码,单点登录密钥。

传数据加密天眼的使用指南,ngsoc告警分析,网络

 可以搭配分析平台,Hadoop平台,等一些联动设备发送数据时加密,默认为aes256加密,然后密钥也有加密,默认为空,需要自己配置,密钥加密后对端的密钥也要加密才能进行数据传输。

敏感密码操作

天眼的使用指南,ngsoc告警分析,网络

 提供对弱口令的铭文展示,可以自己修改敏感操作密码。

天眼的使用指南,ngsoc告警分析,网络

 配置免密登录,直接登入联动的平台。

天眼的使用指南,ngsoc告警分析,网络

 对用户的权限管理。

天眼的使用指南,ngsoc告警分析,网络

 操作审计,可以进行导出的,在筛选好条件筛选完之后进行一个导出,最多导出十万条。天眼的使用指南,ngsoc告警分析,网络

 导航就是可以去找自己想去的模块。文章来源地址https://www.toymoban.com/news/detail-559962.html

到了这里,关于天眼的使用指南,ngsoc告警分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • NetAssist网络调试工具使用指南 (附NetAssist工具包)

    1、NetAssist简介 NetAssist网络调试助手,是Windows平台下开发的TCP/IP网络调试工具,集TCP/UDP服务端及客户端于一体,是网络应用开发及调试工作必备的专业工具之一,可以帮助网络应用设计、开发、测试人员检查所开发的网络应用软/硬件产品的数据收发状况,提高开发速度,简

    2024年02月16日
    浏览(70)
  • 【Shell 命令集合 网络通讯 】Linux 串口通信 minicom命令 使用指南

    Shell 命令专栏:Linux Shell 命令全解析 minicom是一个在Linux中用于串口通信的命令行工具。它提供了一个交互式的终端界面,可以通过串口与其他设备进行通信,如调试串口设备、路由器、嵌入式系统等。 使用minicom命令,可以实现以下功能: 串口通信:minicom可以通过串口与其

    2024年02月08日
    浏览(50)
  • 哈工大计算机网络实验四——简单网络组建配置 Cisco Packet Tracer 使用指南

    做实验四时,本来希望能够借助实验指导书上的内容速通,但尝试了一个上午后发现遍地都是bug,于是便花了半天的时间认真学习了一下其中的运行机制,晚上又把所有的switch全都重写了一遍,最后终于成功。这篇博客详细介绍了该实验中使用Cisco Packet Tracer组建校园网的过程

    2024年02月09日
    浏览(72)
  • 【Shell 命令集合 网络通讯 】Linux 追踪数据包在网络中的路径 traceroute命令 使用指南

    Shell 命令专栏:Linux Shell 命令全解析 traceroute命令用于追踪数据包在网络中的路径。它通过发送一系列的ICMP(Internet Control Message Protocol)回显请求数据包(ping包),并记录每个数据包的传输时间,从而确定数据包从源主机到目标主机经过的所有中间路由器。 当我们使用trac

    2024年02月04日
    浏览(61)
  • RT-Thread 软件包-物联网-网络工具集NetUtils使用指南①

    本文介绍 RT-Thread NetUtils 的使用方法,帮助开发者更好地使用 RT-Thread NetUtils 组件来解决网络开发过程中遇到的问题。 简介 在进行网络相关的产品开发和调试时,一些好用的小工具往往能取到事半功倍的效果。 RT-Thread NetUtils 组件基于此应用场景,开发和封装了一系列简洁好

    2024年02月20日
    浏览(57)
  • Spark初学者指南:使用指南和示例

    本文介绍了如何使用Spark处理大规模数据集,并提供了一个Scala编写的Word Count示例,指导您从安装和配置到编写和运行Spark应用程序。无需担心,即使您是Spark初学者,也可以按照本文的步骤来学习和使用Spark。 Spark是一个流行的分布式计算框架,用于处理大规模数据集。它使

    2024年02月06日
    浏览(61)
  • 【12】Git工具 协同工作平台使用教程 Gitee使用指南 腾讯工蜂使用指南【Gitee】【腾讯工蜂】【Git】

    tips:少量的git安装和使用教程,更多讲快速使用上手Gitee和工蜂平台      Git - Downloads (git-scm.com) 找到对应操作系统,对应版本,对应的位数   下载后根据需求自己安装,然后用git --version验证是否成功   使用 SSH 密钥可以让你在与 Git 服务器进行通信时,实现更安全的身份

    2024年02月13日
    浏览(47)
  • Jmeter进阶使用指南-使用断言

    Apache JMeter是一个流行的开源负载和性能测试工具。在JMeter中,断言(Assertions)是用来验证响应数据是否符合预期的一个重要组件。它是对请求响应的一种检查,如果响应不符合预期,那么断言会标记为失败。 以下是如何在JMeter中使用断言的基本步骤: 添加断言 :首先,你

    2024年02月09日
    浏览(37)
  • ZED使用指南(一)

    将相机插入USB3.0端口。 进入下载的文件夹: 使用chmod +x命令增加安装程序的执行权限,注意将名称替换为自己下载的版本: 运行: 安装开始时,会显示软件许可证Software License,按Enter看完后按q。 在安装过程中,需要回答有关依赖项dependencies,工具tools和示例samples的安装的

    2024年02月16日
    浏览(36)
  • thegraph使用指南

    Ethereum mainnet Kovan Rinkeby Ropsten Goerli PoA-Core PoA-Sokol xDAI Matic Mumbai Fantom Binance Smart Chain Clover Avalanche Fuji Celo Celo-Alfajores Fuse Moonbeam Arbitrum One Arbitrum Testnet (on Rinkeby) Optimism Optimism Testnet (on Kovan) 安装yarn,node环境 设置yarn仓库 curl --silent --location https://dl.yarnpkg.com/rpm/yarn.repo | sudo tee

    2024年02月09日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包