分以下几类讲,天眼的功能,日志分析字段,常见的烂分析,告警分析。两个实例;ngsoc的简单实用和告警分析。
#天眼功能
分为,分析平台,流量传感器,文件威胁鉴定器
#部署架构
高级危险检测,溯源的产品。提供了发现,分析,溯源这三个功能,
主要发现网络攻击事件,结合其他安全设备,去进行即使阻断网络攻击;并对攻击成功的事件进行一个溯源分析;
天眼这个还可以其他设备进行联动的,比如天擎的ed联动。
一种云的服务,流量传感器和文件威胁鉴定器,分析平台和云端的威胁情报服务。
流量传感器:接受流量的镜像还原成一个流量日志(全量还原),为天眼系统提供全流量的数据来源和数据的输入;
分析平台:存储全量的日志和一个分析结果,提供面向客户的业务和交互式的页面。
文件威胁鉴定器:和流量传感器进行一个联动,去流量传感器上面的文件去配合检索引擎进行文件的一个告警分析。
#部署场景
这是br结构。流量传感器就是通过接受用户的流量的镜像,提供网络异常的一种检测,提供一个系统统一管理接口,用户可以访问浏览器直接打开。文件威胁鉴定器就是沙箱和传感器进行联动,收集日志,采用多种混合检测引擎产生告警。分析平台也是对传感器联动,统一的管理和日志告警分析。
#大概流程
第一步就是探针,传感器从数据源上采取数据,然后进入第二部检测,进行一些检测,文件就用沙箱检测,再搭配上二十多种机器学习的行为,从而达到精确事件和新的事件线索;进行一个调查的的分析溯源一个攻击链。
#设备介绍-流量传感器
主要对网络流量进行一个解码,还原出一个真实的网络流量,提取的是网络层,传出层,应用层的同步信息,复杂信息,同时对流量中文件进行还原,这些信息通过加密通道发送到分析平台或威胁鉴定器统一的处理,在ipv4,ipv6的网页下支持主流的发邮件等高性能的分析。
#天眼流量传感器界面
#状态监听界面
这个页面的初始页面什么都展示,然后可以自己选择展示那些,勾选,点击刷新显示最新的数据,支持自动刷新。
设备连接状态是和其他的设备(分享平台,文件威胁鉴定器等等)是什么状态,链接还是断开,数量多少。
设备列表,展示配置,分享平台等等的数据状态,服务器地址,连接的状态,和其他的比如系统信息包括序列化,系统版本,规则版本,可以进行版本更新
授权信息,展示客户的证书,包括客户的名称,有效期等等
资源占用,系统cpu,内存,磁盘的使用状态
#威胁告警-告警列表
进行告警分析用到这个模块,通过里面的告警点开详情进行一个分析,可以输入添加过滤告警,支持查询的条件缓存到一个历史记录,并且将某条记录添加到,根据各种 组合能查到相对于的告警统计图,有很多图形,根据自己设定的条件。
#规则配置
分为四个模块,网页漏洞利用,webshell上传,网络攻击,自定义规则。其中三个模块网页漏洞利用,webshell上传,网络攻击,这里就是预制了一些规则,点开详情去看怎么命中的以及详细信息,下面以及有自定义规则。可以自己配置
威胁情报,我们可以添加域名,请求的ioc,如果这个ioc是恶意的,如果在威胁平台上面是恶意的,但是在这里没有告警,就可以添加进去
#规则配置
- 导入的话是上面那三种格式,导出的话可以进行一个全部的导出。导入的话写很多ioc啊选择好一个格式啊进行导入。
提供了开启和关闭的功能,还能配置一些高级参数,弱口令自己输入字典,其他的启停操作,检测,启动了才能检测,
目录
#部署场景
因为流量经过不同设备,或代理调整,ip可能被替换,所以会有xff配置,开启就会去识别真正的源ip,
#弱口令
弱口令检测功能支持很多协议,支持通过告警中明源显示弱口令开关,控制是否在告警中明源显示弱口令信息,导入字典支持txt格式。
#流量记录
流量负载记录,支持tcp,udp等等流量上下行的负载长度,默认是开启状态,预制提供了一百,五百,一千的三种选项,不提供自定义
流量过滤,提供了指定ip,ip段流量的过滤,提供高级过滤,支持提供dpf,端口,ip,mac过滤,支持流量的导入导出功能,默认是关闭的,
#文件还原
默认是开启,有88中文件类型可以还原,自己选择,默认大小是50mb,也可以自定义,配置好之后要点击保存。
#抓包检测
抓包只支持pcap的包,然后还要完成三次握手的,不然抓不全是没有告警的,导入上线是1g,单个数据包最大是500mb,导入的数据包里面流量日志,和告警都会发到分析平台,里面有文件也让会还原后发送到文件威胁鉴定器的。
#旁路阻断
默认配置。别乱搞了
#ssl解密
这个 因为https是加密的流量抓了之后也不会告警,就要解密一下,导入证书,之后再去按照正常流程。
#白名单配置
是为了应对一些正常的业务请求被告警的适合,放到白名单里面
系统管理是对流量传感器的管理,里面包括了很多东西,图中有的那些都可以配置,然后点保存。
#系统管理-升级配置
建议自动升级。
#系统管理-数据传输设置
它可以引用其他的模块,例如分析平台,和文件威胁鉴定器,之后新增ip和端口,设定好他是什么,再配置外发上面数据,告警,日志等等。
#系统管理-snmp配置
这个管理支持三个配置,配好v3才可以启动snmp trap,他由两个组成,连接性配置,消息内容的设置。
#系统管理-安全性设置
安全性设置可以配置登录设置,数据传输加密,敏感操作密码,单点登录密钥。
传数据加密
可以搭配分析平台,Hadoop平台,等一些联动设备发送数据时加密,默认为aes256加密,然后密钥也有加密,默认为空,需要自己配置,密钥加密后对端的密钥也要加密才能进行数据传输。
敏感密码操作
提供对弱口令的铭文展示,可以自己修改敏感操作密码。
配置免密登录,直接登入联动的平台。
对用户的权限管理。
操作审计,可以进行导出的,在筛选好条件筛选完之后进行一个导出,最多导出十万条。
文章来源:https://www.toymoban.com/news/detail-559962.html
导航就是可以去找自己想去的模块。文章来源地址https://www.toymoban.com/news/detail-559962.html
到了这里,关于天眼的使用指南,ngsoc告警分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
