威胁事件
最近更新时间:2025年04月29日 09:59:39
数据统计&筛选
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择终端安全防护中心 > 威胁事件。
2. 在威胁事件统计页面,支持查看威胁事件发生趋势,同时会按照钓鱼、勒索、横移进行场景化数据统计。
①支持时间段选择:今天、近7天、近30天以及自由选择时间查询。
②单击事件数据信息,可按统计数据筛选。
③单击导出,导出日志信息。
![]()
3. 事件聚合区分精准模式以及ATT&CK模式,选择精准模式即可将含有恶意文件和威胁情报的事件一键过滤展示,突出重要事件,降低运营压力。
4. 事件聚合时间支持自定义,默认1天,可通过缩短聚合时间查看最近关联的告警。
批量处理调查状态
某个事件调整:单击调查状态![]()
![]()
批量调整:支持勾选多个威胁事件,批量处理事件调查状态为新事件、调查中、已完成。
事件关联告警和处置
1. 单击事件名称右侧的![]()
2. 在处置页面,单击配置,支持调整需要处置的证据/终端。
配置:可以对该证据下发阻断网络连接等处置任务。选择阻断/恢复阻断,单击确定。
![]()
终端:支持针对该事件关联的终端进行处置,选择隔离终端/恢复终端隔离,单击确定。
![]()
威胁事件调查
在事件调查页面,用户可以看到整个威胁事件中证据、告警与终端的关联关系,通过溯源图可以梳理整个威胁事件的发生流程,进而对该事件进行研判以及处置。
1. 在威胁事件列表中,单击调查或事件名称,进入事件调查页面。
![]()
2. 在事件调查页面,单击详情查看复现攻击者行为链路。
![]()
3. 在溯源图中单击实体,左侧展示该实体的具体信息,包含基本信息以及关联信息(关联告警、资产)。
![]()
3.1 单击溯源查看溯源图,在溯源图中可以明确知悉恶意文件/进程创建的过程,进而帮助用户更好的确认威胁事件发生的关键,并针对性解决问题,溯源图中的每一个节点都可以单击展示该节点的详细信息。
![]()
3.2 查看恶意文件/进程创建的过程。
![]()
4. 切换页面到活动告警,支持查看该事件下所有的告警信息,单击具体的告警名称/ID可以查看告警详情。
![]()
5. 切换页面到资产,可以看到对应产生告警的终端,单击展开可以看到该终端下所有的告警信息,单击终端名称可看到对应的终端信息。
![]()
6. 切换页面到证据,可以看到当前威胁时间下所有的证据信息,按照全部、进程、文件、网络进行分类,单击名称可以看到该证据详情以及关联的资产和告警。
![]()