高級(jí)威脅檢測(cè)系統(tǒng)-操作手冊(cè)1.8.55-v1.0.0

高級(jí)威脅檢測(cè)系統(tǒng)操作手冊(cè)V1.8.55版本：1.0.0修訂記錄日期版本說明作者20.0新建文檔吳祝君-前言一．發(fā)布說明軟件名稱高級(jí)威脅檢測(cè)系統(tǒng)軟件版本1.8.55發(fā)布日期2021-11-15項(xiàng)目負(fù)責(zé)人王弘波審核發(fā)布人王弘波二．新功能新特性序號(hào)版本新增或者修改的功能特性1管理頁(yè)面菜單變更2威脅態(tài)勢(shì)>總覽3護(hù)網(wǎng)工作臺(tái)4攻擊結(jié)果判定優(yōu)化5知識(shí)庫(kù)升級(jí)提醒三．產(chǎn)品概述本次發(fā)布的ATD版本，重點(diǎn)提升了產(chǎn)品在風(fēng)險(xiǎn)定位、威脅研判、威脅追溯、威脅取證、威脅響應(yīng)各環(huán)節(jié)的易用性，提升用戶在日常威脅處置和實(shí)時(shí)威脅監(jiān)測(cè)場(chǎng)景下的處置效率。為了幫助新用戶能夠快速的上手使用產(chǎn)品，根據(jù)用戶使用此產(chǎn)品要完成的工作，對(duì)產(chǎn)品的菜單進(jìn)行了重新設(shè)計(jì)，將一級(jí)菜單調(diào)整為威脅態(tài)勢(shì)、護(hù)網(wǎng)工作臺(tái)、威脅分析、威脅報(bào)告、響應(yīng)處置、資產(chǎn)管理、日志檢索、離線分析和系統(tǒng)管理；根據(jù)不同的使用場(chǎng)景，我們對(duì)具體的功能頁(yè)面進(jìn)行了易用性方面的優(yōu)化，用戶根據(jù)自己的實(shí)際威脅分析需要，選擇使用不同的頁(yè)面。使用場(chǎng)景使用者對(duì)應(yīng)的功能頁(yè)面日常安全運(yùn)維場(chǎng)景安全運(yùn)維人員/駐場(chǎng)安服威脅態(tài)勢(shì)-總覽攻防對(duì)抗（護(hù)網(wǎng)）場(chǎng)景安全運(yùn)維人員/駐場(chǎng)安服護(hù)網(wǎng)工作臺(tái)安全服務(wù)場(chǎng)景（每周/每月）安服人員護(hù)網(wǎng)工作臺(tái)應(yīng)急響應(yīng)處置安全運(yùn)維人員/駐場(chǎng)安服護(hù)網(wǎng)工作臺(tái)檢測(cè)能力覆蓋度測(cè)試測(cè)試人員日志檢索-威脅日志惡意文件專項(xiàng)分析安全運(yùn)維人員/駐場(chǎng)安服威脅分析-文件分析惡意郵件專項(xiàng)分析安全運(yùn)維人員/駐場(chǎng)安服威脅分析-郵件分析暗網(wǎng)流量專項(xiàng)分析安全運(yùn)維人員/駐場(chǎng)安服威脅分析-暗網(wǎng)流量追溯惡意加密流量專項(xiàng)分析安全運(yùn)維人員/駐場(chǎng)安服威脅分析-惡意加密流量追溯這次新的版本，還對(duì)威脅檢測(cè)結(jié)果進(jìn)行了兩方面的優(yōu)化，一方面是全部的威脅檢測(cè)日志中都包含了攻擊結(jié)果；一方面為了提升用戶的威脅處置效率，我們對(duì)原始的威脅日志進(jìn)行處理產(chǎn)生威脅事件；威脅檢測(cè)引擎產(chǎn)生原始的威脅日志，并記錄在日志檢索>威脅日志中；事件分析引擎根據(jù)事件生成規(guī)則，對(duì)威脅日志進(jìn)行分析后產(chǎn)生威脅事件，并記錄在護(hù)網(wǎng)工作臺(tái)中；最終根據(jù)攻擊的結(jié)果和事件的類型，產(chǎn)生了高風(fēng)險(xiǎn)主機(jī)、攻擊者和風(fēng)險(xiǎn)主機(jī)，記錄在“態(tài)勢(shì)感知>總覽”里面，方便用戶進(jìn)行處置；注：關(guān)于高風(fēng)險(xiǎn)主機(jī)、攻擊者和風(fēng)險(xiǎn)主機(jī)會(huì)在后面的章節(jié)中具體說明

產(chǎn)品適用環(huán)境高級(jí)持續(xù)性威脅（APT）是指隱匿而持久的網(wǎng)絡(luò)入侵過程，其通常是出于商業(yè)或政治動(dòng)機(jī)，由某些人員精心策劃，針對(duì)特定組織或國(guó)家，長(zhǎng)時(shí)間內(nèi)保持高隱蔽性，最后實(shí)施攻擊。APT通過零日威脅、特種木馬變種、病毒變種等手段可以輕易繞過大部分傳統(tǒng)安全設(shè)備，基于特征檢測(cè)的傳統(tǒng)安全產(chǎn)品對(duì)APT的未知威脅攻擊形同虛設(shè)。高級(jí)威脅檢測(cè)系統(tǒng)（Advanced

Threat

Detection

System，簡(jiǎn)稱：ATD），將人工智能、大數(shù)據(jù)技術(shù)與安全技術(shù)相結(jié)合，實(shí)時(shí)分析網(wǎng)絡(luò)流量，監(jiān)控可疑威脅行為，內(nèi)置多種檢測(cè)技術(shù)，可對(duì)APT攻擊鏈進(jìn)行交叉檢測(cè)和交叉驗(yàn)證。ATD除了具備常規(guī)的入侵檢測(cè)功能外，還可以從網(wǎng)絡(luò)流量中還原出文件（HTTP、SMTP、POP3、IMAP、FTP、SMB等協(xié)議）并通過多病毒檢測(cè)引擎有效識(shí)別出病毒、木馬等已知威脅；通過基因圖譜檢測(cè)技術(shù)檢測(cè)惡意代碼變種；還可以通過沙箱（Sandbox）行為檢測(cè)技術(shù)發(fā)現(xiàn)未知威脅；對(duì)抽取的網(wǎng)絡(luò)流量元數(shù)據(jù)，進(jìn)行情報(bào)檢測(cè)、異常檢測(cè)、流量基因檢測(cè)；最后將所有安全威脅進(jìn)行關(guān)聯(lián)分析，輸出檢測(cè)結(jié)果，對(duì)檢測(cè)及防御APT攻擊起到關(guān)鍵作用。下面簡(jiǎn)單介紹幾種產(chǎn)品適用場(chǎng)景。辦公高級(jí)威脅檢測(cè)高級(jí)威脅檢測(cè)系統(tǒng)通過分光或鏡像網(wǎng)絡(luò)流量的方式，對(duì)DMZ區(qū)和辦公網(wǎng)核心交換機(jī)的上聯(lián)端口進(jìn)行全流量監(jiān)測(cè)，通過先進(jìn)的人工智能檢測(cè)技術(shù)捕獲釣魚郵件、惡意url、頁(yè)面劫持、惡意文件傳播等行為，實(shí)時(shí)進(jìn)行安全告警，彌補(bǔ)由于辦公人員安全意識(shí)薄弱所導(dǎo)致的安全事故，發(fā)現(xiàn)潛在的安全威脅，常規(guī)部署圖如圖1-1所示。圖1-1生產(chǎn)網(wǎng)潛伏威脅檢測(cè)高級(jí)威脅檢測(cè)系統(tǒng)通過鏡像生產(chǎn)網(wǎng)內(nèi)各業(yè)務(wù)分區(qū)的匯聚交換機(jī)上聯(lián)端口，對(duì)生產(chǎn)網(wǎng)東西向的網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)分析，通過利用沙箱、多AV病毒檢測(cè)、流量基因檢測(cè)和文件基因檢測(cè)等先進(jìn)技術(shù)對(duì)惡意樣本、惡意流量、行為異常等威脅進(jìn)行重點(diǎn)識(shí)別，彌補(bǔ)生產(chǎn)網(wǎng)自身業(yè)務(wù)系統(tǒng)脆弱的不足，保護(hù)生產(chǎn)網(wǎng)安全，常規(guī)部署圖如圖1-2所示。圖1-2數(shù)據(jù)中心高級(jí)威脅檢測(cè)數(shù)據(jù)中心作為企業(yè)的核心數(shù)據(jù)存儲(chǔ)區(qū)，通常保存企業(yè)所有的敏感數(shù)據(jù)和機(jī)密數(shù)據(jù)，一旦發(fā)生信息泄露、加密勒索等安全事故，損失無法估量。高級(jí)威脅檢測(cè)系統(tǒng)通過鏡像數(shù)據(jù)中心各業(yè)務(wù)分區(qū)的匯聚交換機(jī)上聯(lián)端口，對(duì)數(shù)據(jù)中心內(nèi)部東西向業(yè)務(wù)流量進(jìn)行安全監(jiān)測(cè)，通過先進(jìn)的隱蔽隧道檢測(cè)技術(shù)、加密流量檢測(cè)技術(shù)、JA3和SSL指紋等檢測(cè)技術(shù)重點(diǎn)識(shí)別可疑傳輸行為，告警信息泄露事件；通過流量基因檢測(cè)、網(wǎng)絡(luò)沙箱檢測(cè)等技術(shù)識(shí)別加密勒索等行為，保護(hù)數(shù)據(jù)中心的安全，常規(guī)部署圖如圖1-3所示。圖1-3城域網(wǎng)統(tǒng)一威脅感知高級(jí)威脅檢測(cè)系統(tǒng)通過分光城域網(wǎng)數(shù)據(jù)中心、邊緣機(jī)房的線路流量，對(duì)城域網(wǎng)進(jìn)行分布式的安全監(jiān)測(cè)，實(shí)時(shí)檢測(cè)DDOS攻擊、APT攻擊和僵木蠕傳播等行為；在城域網(wǎng)安全管理中心部署一套CIC大數(shù)據(jù)安全分析系統(tǒng)，對(duì)分布式監(jiān)測(cè)引擎的安全事件進(jìn)行統(tǒng)一收集、合并和展示，通過大窗口的離線分析，精準(zhǔn)告警安全威脅并在整個(gè)城域網(wǎng)的范圍內(nèi)發(fā)現(xiàn)相似的安全攻擊、安全事件，形成整體聯(lián)防，提高防護(hù)效率。常規(guī)部署圖如圖1-4所示。圖1-4

安裝向?qū)в布Y(jié)構(gòu)文檔中所示機(jī)型只作為示意圖，具體設(shè)備以實(shí)物為準(zhǔn)。前面板示意圖前面板示意圖如圖2-1所示。圖2-1后板示意圖后面板示意圖如圖2-2所示。圖2-2安裝和初始化安裝前準(zhǔn)備需要準(zhǔn)備如下項(xiàng)目：部署環(huán)境（用戶提供）：19英寸標(biāo)準(zhǔn)機(jī)柜，機(jī)柜要有足夠的安裝高度空間（>=3U），服務(wù)器周圍要有足夠的散熱空間；管理地址（用戶提供）：IP，子網(wǎng)掩碼，網(wǎng)關(guān)，DNS；鏡像流量（用戶提供）：保證會(huì)話完整；工具（根據(jù)實(shí)際情況）：管理PC，RJ45千兆網(wǎng)線，光纖，螺絲刀，壁紙刀，防靜電腕帶等；部署位置：一般部署在互聯(lián)網(wǎng)出入口，或者需要重點(diǎn)被監(jiān)測(cè)的流量。部署方式為旁路部署，如圖2-3所示。圖2-3部署方式安裝注意事項(xiàng)檢查服務(wù)器外包裝，發(fā)現(xiàn)包裝破損、浸水等，應(yīng)立即與快遞或供應(yīng)商溝通，查明原因。使用壁紙刀輕輕劃開封口處膠帶，防止刮傷服務(wù)器。檢查服務(wù)器機(jī)箱一致性和配件，配件包括：服務(wù)器主機(jī)、導(dǎo)軌一對(duì)（含螺絲）、兩根電源線。搬運(yùn)服務(wù)器時(shí)，請(qǐng)雙手水平托運(yùn)服務(wù)器機(jī)箱。拆封后的紙箱和泡沫請(qǐng)妥善保存，以備后續(xù)搬運(yùn)服務(wù)器時(shí)再使用。安裝和初始化服務(wù)器安裝找準(zhǔn)機(jī)柜安裝位置，使用十字螺絲刀，用包裝箱自帶螺絲將導(dǎo)軌固定在機(jī)柜上；水平托置服務(wù)器，將服務(wù)器左右兩側(cè)內(nèi)導(dǎo)軌對(duì)準(zhǔn)機(jī)柜導(dǎo)軌，輕輕滑入服務(wù)器使用包裝箱內(nèi)電源線接入雙路冗余電源。初始化配置開啟服務(wù)器接通服務(wù)器電源線并在服務(wù)器前面板處按電源鍵。如圖2-4所示圖2-4以實(shí)物為準(zhǔn)將管理PC網(wǎng)口與服務(wù)器的管理口通過網(wǎng)線或者二層交換機(jī)相連。如圖2-5所示。圖2-5以實(shí)物為準(zhǔn)將管理員PC的網(wǎng)絡(luò)連接的IP地址設(shè)置在非服務(wù)器缺省地址之外范圍內(nèi)即可（～67，70～54）服務(wù)器管理口缺省地址：IP：68網(wǎng)關(guān)：子網(wǎng)掩碼：。服務(wù)器遠(yuǎn)程控制口缺省地址（特殊情況提供給廠商使用，無需更改）：IP：69網(wǎng)關(guān)：子網(wǎng)掩碼：。申請(qǐng)授權(quán)證書瀏覽器訪問系統(tǒng)出廠管理地址：68:5443，如圖2-6所示圖2-6初始化頁(yè)面點(diǎn)擊頁(yè)面右上角的“系統(tǒng)信息”，根據(jù)系統(tǒng)信息申請(qǐng)授權(quán)，授權(quán)需要郵件向support@郵箱申請(qǐng)，需要體現(xiàn)：項(xiàng)目名稱、設(shè)備編號(hào)、系統(tǒng)版本、CPU核心、內(nèi)存、硬盤、試用周期；收到證書后，從頁(yè)面導(dǎo)入證書。License根據(jù)用途可以分為兩種類型，商用類型（COMM）和測(cè)試類型（DEMO）。商用類型：正常情況下，依據(jù)合同規(guī)定購(gòu)買的License，可以使用系統(tǒng)的全部功能。測(cè)試類型：用于測(cè)試、試用等用途的臨時(shí)License，License有效期期間，可以使用系統(tǒng)的全部功能。到期后系統(tǒng)無法訪問。如圖2-7所示。圖2-7系統(tǒng)信息導(dǎo)入證書拿到授權(quán)文件是一個(gè)“.pem”類型文件選擇導(dǎo)入證書，如圖2-8所示。圖2-8導(dǎo)入證書創(chuàng)建管理員信息點(diǎn)擊“下一步”創(chuàng)建管理員信息，創(chuàng)建的管理員信息，將作為首次登錄的賬戶。輸入用戶名、密碼、郵箱、工號(hào)、手機(jī)號(hào)信息，如圖2-9所示。圖2-9創(chuàng)建管理員注：此賬號(hào)為系統(tǒng)最高權(quán)限賬號(hào)，創(chuàng)建后不能修改用戶名，請(qǐng)妥善保管用戶名密碼。配置管理口地址點(diǎn)擊“下一步”進(jìn)入管理口地址配置界面。根據(jù)客戶實(shí)際網(wǎng)絡(luò)環(huán)境配置成客戶網(wǎng)絡(luò)的地址，實(shí)現(xiàn)遠(yuǎn)程管理。IP、網(wǎng)關(guān)、子網(wǎng)掩碼、DNS（按用戶提供信息配置）地區(qū)：配置系統(tǒng)所處的地理位置，態(tài)勢(shì)感知基于地區(qū)顯示威脅事件。時(shí)區(qū)：默認(rèn)亞洲/上海，其他時(shí)區(qū)均可選擇設(shè)置。如圖2-10所示。圖2-10配置管理口地址系統(tǒng)初始化點(diǎn)擊“提交”，系統(tǒng)開始進(jìn)行初始化，默認(rèn)需要120s，在初始化過程中不能刷新頁(yè)面，初始化完成，可點(diǎn)擊頁(yè)面打開新的標(biāo)簽頁(yè)訪問系統(tǒng)進(jìn)入登錄頁(yè)面。如圖2-11所示。圖2-11系統(tǒng)初始化登錄系統(tǒng)訪問系統(tǒng)，https://配置的ip:5443，使用初始化時(shí)配置的用戶名密碼登錄系統(tǒng)。推薦使用Chrome瀏覽器80及以上版本訪問系統(tǒng)，如沒有谷歌瀏覽器，在登錄頁(yè)面右下角點(diǎn)擊“下載推薦瀏覽器進(jìn)入系統(tǒng)”進(jìn)行下載安裝。如圖2-12所示。圖2-12登錄系統(tǒng)

登陸系統(tǒng)后如圖2-13所示。圖2-13系統(tǒng)首頁(yè)

功能說明威脅態(tài)勢(shì)總覽提升用戶日常威脅監(jiān)控和處置的效率，適用于日常安全運(yùn)維，為安全運(yùn)維人員和駐場(chǎng)安服定位被攻擊的資產(chǎn)進(jìn)行處置、定位攻擊者進(jìn)行封堵和找到存在潛在安全風(fēng)險(xiǎn)的資產(chǎn)，進(jìn)行加固提供幫助?？傆[頁(yè)面統(tǒng)計(jì)信息、待處置分析和事件分析三個(gè)模塊統(tǒng)計(jì)機(jī)信息：最上面的時(shí)間選擇，可以選最近一天、最近一周、最近兩周和自定義時(shí)間段等查詢?nèi)鐖D3-1所示。圖3-1時(shí)間選擇統(tǒng)計(jì)信息第一個(gè)banner以高風(fēng)險(xiǎn)主機(jī)、攻擊者、風(fēng)險(xiǎn)主機(jī)和威脅事件四個(gè)維度統(tǒng)計(jì)一段時(shí)間內(nèi)的數(shù)量以及環(huán)比的新增和減少量，如圖3-2所示。圖3-2導(dǎo)覽攻擊階段統(tǒng)分為安全缺陷、掃描探測(cè)、嘗試攻擊、漏洞利用、木馬下載、遠(yuǎn)程控制、橫向滲透和行動(dòng)收割九個(gè)階段，分別統(tǒng)計(jì)在一段時(shí)間內(nèi)威脅事件數(shù)量，點(diǎn)擊對(duì)應(yīng)階段可以跳轉(zhuǎn)護(hù)網(wǎng)工作臺(tái)查看詳情列表信息。如圖3-3所示。圖3-3待處置威脅：分為高風(fēng)險(xiǎn)主機(jī)，攻擊者，風(fēng)險(xiǎn)主機(jī)和場(chǎng)景監(jiān)測(cè)四個(gè)功能，由此引出報(bào)告模式，事件詳情，原始PCAP等新增功能；高風(fēng)險(xiǎn)主機(jī)（如圖3-4所示），攻擊者（如圖3-5所示）和風(fēng)險(xiǎn)主機(jī)（如圖3-6所示）模塊可以選擇全部和資產(chǎn)（攻擊者是全部、外對(duì)內(nèi)和橫向）、處置狀態(tài)進(jìn)行篩選，可以分頁(yè)查詢，篩選結(jié)果總數(shù)會(huì)在統(tǒng)計(jì)信息高風(fēng)險(xiǎn)模塊同步，每條數(shù)據(jù)第一個(gè)標(biāo)簽是風(fēng)險(xiǎn)等級(jí)，后面對(duì)應(yīng)威脅分類，點(diǎn)擊詳情可以查看威脅詳情，詳情分別以報(bào)告模式（如圖3-7所示）和事件列表（如圖3-8所示）展示，點(diǎn)擊處置可以標(biāo)記處理。點(diǎn)擊把標(biāo)題旁邊的本周趨勢(shì)可以顯示一周威脅情況并以圖表展示（如圖3-9所示）。圖3-4圖3-5圖3-6圖3-7圖3-8圖3-9場(chǎng)景監(jiān)測(cè)，可以自動(dòng)監(jiān)測(cè)場(chǎng)景，可以切換對(duì)應(yīng)場(chǎng)景，篩選已讀未讀狀態(tài)，點(diǎn)擊詳情可以查看威脅詳情，可以標(biāo)記已讀狀態(tài)。如圖3-10所示圖3-10點(diǎn)擊設(shè)置跳轉(zhuǎn)場(chǎng)景設(shè)置，里面第一部分是場(chǎng)景列表，后面可以填寫場(chǎng)景序號(hào)、名稱、備注，可以定義IP地址范圍，攻擊結(jié)果、威脅等級(jí)以及威脅名稱。如圖3-11所示圖3-11事件分析：分為攻擊國(guó)家TOP10、威脅名稱TOP10、事件趨勢(shì)、威脅等級(jí)和攻擊方向維度統(tǒng)計(jì)相關(guān)信息并以柱狀圖、折線圖和餅圖等圖表的方式展示，如圖3-12所示。圖3-12態(tài)勢(shì)大屏入口方式：威脅感知>威脅態(tài)勢(shì)模塊該頁(yè)面包括綜合安全態(tài)勢(shì)、安全金字塔、資產(chǎn)態(tài)勢(shì)、威脅時(shí)間態(tài)勢(shì)、攻擊者態(tài)勢(shì)、外聯(lián)風(fēng)險(xiǎn)態(tài)勢(shì)以及橫向威脅態(tài)勢(shì)七個(gè)具體展示模塊。綜合安全態(tài)勢(shì)綜合安全態(tài)勢(shì)從系統(tǒng)整體視角展示了風(fēng)險(xiǎn)資產(chǎn)和威脅告警情況。如圖3-13所示。圖3-13綜合安全態(tài)勢(shì)頁(yè)面說明：頁(yè)面左上部分展示了當(dāng)前終端和服務(wù)器的風(fēng)險(xiǎn)情況。頁(yè)面左下部分展示了當(dāng)前風(fēng)險(xiǎn)資產(chǎn)TOP5情況，其中包括“風(fēng)險(xiǎn)資產(chǎn)”、“告警量及其變化趨勢(shì)”、“威脅標(biāo)簽類型”。點(diǎn)擊選中的“風(fēng)險(xiǎn)資產(chǎn)”會(huì)打開新頁(yè)面展示該條報(bào)警的具體信息。頁(yè)面右半部分展示了當(dāng)前所有安全事件的“告警數(shù)量”、“告警類別”、“告警趨勢(shì)”。其中點(diǎn)擊“已處理”可以打開新頁(yè)面展示所有已處理的威脅告警事件；類似的，點(diǎn)擊“未處理”查看所有未處理告警；點(diǎn)擊左邊圓形的“告警”可查看所有告警；點(diǎn)擊下方的任一告警類別，可以查看所有同類別的告警。最下方展示了告警量隨時(shí)間變化趨勢(shì)。頁(yè)面下方分別有“自動(dòng)播放”、“2D/3D”、“顯示模塊”、“電影模式”四個(gè)按鈕.自動(dòng)播放：點(diǎn)亮“自動(dòng)播放”，顯示圖會(huì)自動(dòng)在3D和2D中切換，展示所有告警事件的類型、方向、數(shù)量等信息。2D/3D：點(diǎn)擊可以鎖定顯示圖為2D/3D模型且會(huì)關(guān)閉“自動(dòng)播放”顯示模塊：點(diǎn)亮/關(guān)閉“顯示模塊”可以顯示/隱藏之前提到的1.2.3點(diǎn)內(nèi)容，即顯示/隱藏風(fēng)險(xiǎn)資產(chǎn)TOP5以及告警數(shù)量、告警類別和告警趨勢(shì)。電影模式：開啟電影模式可以查看特殊的顯示樣式。頁(yè)面右上方可選擇“統(tǒng)計(jì)時(shí)間范圍”，右上角常駐系統(tǒng)事件信息，點(diǎn)擊齒輪按鈕可自定義頁(yè)面標(biāo)題，點(diǎn)擊全屏按鈕可以全屏展示。安全金字塔安全金字塔頁(yè)面按由低到高的，分別從流量、日志、事件、告警四個(gè)層面描述系統(tǒng)的安全情況。如圖3-14所示。圖3-14安全金字塔頁(yè)面說明：頁(yè)面左半部分由安全金字塔構(gòu)成，從上到下分別為告警、威脅時(shí)間、元數(shù)據(jù)/日志、接入流量四個(gè)模塊。其中點(diǎn)擊“告警總量”和“威脅事件總量”所對(duì)應(yīng)的數(shù)字可以分別打開新頁(yè)面展示告警詳情和威脅事件詳情頁(yè)面，頁(yè)面右半部分自上而下分別是“告警類別/高風(fēng)險(xiǎn)資產(chǎn)統(tǒng)計(jì)”、“事件類別/事件趨勢(shì)”、“日志趨勢(shì)”、“最近1小時(shí)流量曲線”。告警類別：展示了5種最多的告警類別隨時(shí)間變化的點(diǎn)陣數(shù)量統(tǒng)計(jì)圖，選中可查看具體的時(shí)間和告警數(shù)。高風(fēng)險(xiǎn)資產(chǎn)統(tǒng)計(jì)：點(diǎn)擊“風(fēng)險(xiǎn)資產(chǎn)”會(huì)打開新頁(yè)面顯示所有“已失陷/高可疑”主機(jī)；類似的，點(diǎn)擊“風(fēng)險(xiǎn)服務(wù)器”展示所有“已失陷/高可疑”的服務(wù)器；“風(fēng)險(xiǎn)終端”同理。事件類型：用于展示威脅事件最多的5種類別統(tǒng)計(jì)的環(huán)狀圖，點(diǎn)擊任一事件類別可以隱藏該種類別，并重新生成新的環(huán)狀圖。事件趨勢(shì)：用于展示威脅事件按危急級(jí)別統(tǒng)計(jì)的隨時(shí)間變化的事件數(shù)量柱形圖，點(diǎn)擊任一危機(jī)級(jí)別可隱藏該種危急類別，并重新生成柱形圖。日志趨勢(shì)：用于展示日志量隨事件變化曲線。最近1小時(shí)流量：用于展示最近1小時(shí)流量隨事件變化曲線，不受頂端“當(dāng)日/最近七天”開關(guān)影響。資產(chǎn)態(tài)勢(shì)資產(chǎn)態(tài)勢(shì)頁(yè)面用于展示內(nèi)部資產(chǎn)的整體情況，包括資產(chǎn)添加情況、服務(wù)器相關(guān)情況、終端相關(guān)情況、整體資產(chǎn)威脅情況和脆弱性情況。如圖3-15所示。圖3-15資產(chǎn)態(tài)勢(shì)頁(yè)面說明：頁(yè)面上部分用于展示服務(wù)器資產(chǎn)，點(diǎn)擊圓形“服務(wù)器”會(huì)打開新頁(yè)面展示全部服務(wù)器資產(chǎn)。左邊部分展示了當(dāng)前服務(wù)器的服務(wù)類別和數(shù)量；右邊展示了服務(wù)端口情況。頁(yè)面中間部分用于展示終端資產(chǎn)，點(diǎn)擊圓形“終端”會(huì)打開新頁(yè)面展示全部終端資產(chǎn)。左邊部分展示了當(dāng)前終端的操作系統(tǒng)類別和數(shù)量；右邊展示了終端使用的訪問軟件數(shù)量統(tǒng)計(jì)。頁(yè)面下方部分用于展示最新識(shí)別資產(chǎn)的情況，包括IP地址、資產(chǎn)組、設(shè)備類型、發(fā)現(xiàn)方式、操作系統(tǒng)以及最新活躍時(shí)間。列表滾動(dòng)顯示，鼠標(biāo)移動(dòng)到列表上自動(dòng)停止?jié)L動(dòng)；點(diǎn)擊選中的資產(chǎn)會(huì)打開新頁(yè)面顯示該資產(chǎn)的詳細(xì)信息。頁(yè)面右側(cè)自上而下分別是“資產(chǎn)風(fēng)險(xiǎn)等級(jí)”、“脆弱性風(fēng)險(xiǎn)”、“資產(chǎn)發(fā)現(xiàn)方式”。資產(chǎn)風(fēng)險(xiǎn)等級(jí)：用于展示資產(chǎn)按風(fēng)險(xiǎn)等級(jí)區(qū)分的統(tǒng)計(jì)情況，包括數(shù)量及占比。點(diǎn)擊任一風(fēng)險(xiǎn)等級(jí)會(huì)打開新頁(yè)面展示所有處于該風(fēng)險(xiǎn)等級(jí)的主機(jī)。脆弱性風(fēng)險(xiǎn)：用于展示脆弱性事件總量和告警類別及其對(duì)應(yīng)的事件數(shù)量。點(diǎn)擊任一告警類別會(huì)打開新頁(yè)面展示該種告警類別對(duì)應(yīng)的所有告警。資產(chǎn)發(fā)現(xiàn)方式：用于展示資產(chǎn)的發(fā)現(xiàn)方式及各種方式對(duì)應(yīng)的資產(chǎn)數(shù)量的餅狀圖，點(diǎn)擊任一發(fā)現(xiàn)方式可以隱藏該種類別并重新生成餅狀圖。威脅事件態(tài)勢(shì)威脅事件態(tài)勢(shì)主要從事件角度展示整體的威脅態(tài)勢(shì)。如圖3-16所示。圖3-16威脅事件態(tài)勢(shì)頁(yè)面說明：頁(yè)面左邊主體用于展示外部攻擊、外連風(fēng)險(xiǎn)、橫向威脅三部分。分別點(diǎn)擊“外部攻擊”、“外連風(fēng)險(xiǎn)”和“橫向威脅”可以查看三類風(fēng)險(xiǎn)的窗口詳情。外部攻擊：展示外部攻擊總數(shù)量、攻擊數(shù)量前5的事件類型及數(shù)量、攻擊數(shù)量前5的攻擊來源國(guó)家。事件類型分類展示了所有攻擊事件類別占比圖，點(diǎn)擊餅狀圖，會(huì)打開新頁(yè)面展示對(duì)應(yīng)類別的事件詳情；點(diǎn)擊右側(cè)任一分類可隱藏該種分類并重新生成餅狀圖。國(guó)家排行展示了所選時(shí)間段內(nèi)攻擊來源排行前5的國(guó)家及數(shù)量；點(diǎn)擊任一國(guó)家名會(huì)打開新頁(yè)面展示所有來自該國(guó)家的攻擊事件。外連風(fēng)險(xiǎn)：展示外連風(fēng)險(xiǎn)總數(shù)量、外連數(shù)量前5的事件類型及數(shù)量、外連次數(shù)前5的資產(chǎn)及其外聯(lián)次數(shù)。事件類型分類展示了所有外連事件類別占比圖，點(diǎn)擊餅狀圖，會(huì)打開新頁(yè)面展示對(duì)應(yīng)類別的事件詳情；點(diǎn)擊右側(cè)任一分類可隱藏該種分類并重新生成餅狀圖。外連資產(chǎn)展示了所選時(shí)間段內(nèi)外連次數(shù)排行前5的主機(jī)IP及次數(shù)；點(diǎn)擊任一主機(jī)IP會(huì)打開新頁(yè)面展示所有屬于該主機(jī)的外連事件。橫向威脅：展示所有橫向威脅事件數(shù)量、橫向威脅數(shù)量前5的事件類型及數(shù)量。事件類型分類展示了所有橫向威脅事件類別占比圖，點(diǎn)擊餅狀圖，會(huì)打開新頁(yè)面展示對(duì)應(yīng)類別的事件詳情；點(diǎn)擊右側(cè)任一分類可隱藏該種分類并重新生成餅狀圖。頁(yè)面下方模塊展示事件所處的攻擊鏈階段及處于該階段的事件數(shù)。包括安全缺陷、掃描探測(cè)、嘗試攻擊、漏洞利用、木馬下載、遠(yuǎn)程控制、橫向滲透、行動(dòng)收割幾個(gè)階段；點(diǎn)擊對(duì)應(yīng)階段上方的事件數(shù)可以打開新頁(yè)面展示處于對(duì)應(yīng)階段的所有事件。頁(yè)面右邊部分包括事件總數(shù)、熱點(diǎn)事件、事件趨勢(shì)、事件類別四個(gè)模塊。事件總數(shù)：包括了所選事件范圍內(nèi)的所有事件數(shù)。熱點(diǎn)事件：根據(jù)威脅事件數(shù)量按類別列舉出來形成熱點(diǎn)事件，包括事件種類及其事件數(shù)；點(diǎn)擊事件類別會(huì)打開新頁(yè)面展示時(shí)間段內(nèi)所有該類別的事件。事件趨勢(shì)：展示威脅事件隨時(shí)間變化的事件數(shù)量柱形圖，并按照不同危急等級(jí)統(tǒng)計(jì)，點(diǎn)擊任一危機(jī)級(jí)別可隱藏該種危機(jī)類別，并重新生成柱形圖。事件類別：展示威脅事件最多的5種類別統(tǒng)計(jì)的環(huán)狀圖，點(diǎn)擊左側(cè)的環(huán)狀圖中的種類會(huì)打開新頁(yè)面展示時(shí)間段內(nèi)所有該類別的威脅事件。點(diǎn)擊右側(cè)任一威脅事件類別可以隱藏該種類別，并重新生成新的環(huán)狀圖。攻擊者態(tài)勢(shì)攻擊者態(tài)勢(shì)頁(yè)面用于展示外部攻擊者對(duì)內(nèi)部資產(chǎn)的威脅情況。如圖3-17所示。圖3-17攻擊者態(tài)勢(shì)頁(yè)面說明：頁(yè)面主體為世界地圖/中國(guó)地圖/省市地圖，用于實(shí)時(shí)展示攻擊風(fēng)險(xiǎn)情況，國(guó)家或地區(qū)顏色由攻擊次數(shù)決定，攻擊次數(shù)越高，顏色越醒目；攻擊態(tài)勢(shì)由箭頭連接，指向被攻擊者；當(dāng)出現(xiàn)危急程度攻擊時(shí)，會(huì)直接在頁(yè)面彈框顯示詳情。頁(yè)面下方包括攻擊者-國(guó)家排行、攻擊者-城市排行、攻擊者-攻擊者排行、受害者-受害資產(chǎn)排行四個(gè)模塊。攻擊者-國(guó)家排行：展示了所選時(shí)間段內(nèi)攻擊來源排行前5的國(guó)家及攻擊記錄數(shù)；點(diǎn)擊任一國(guó)家名會(huì)打開新頁(yè)面展示所有來自該國(guó)家的攻擊事件。攻擊者-城市排行：展示了所選時(shí)間段內(nèi)攻擊來源排行前5的城市及攻擊記錄數(shù)；點(diǎn)擊任一城市名會(huì)打開新頁(yè)面展示所有來自該城市的攻擊事件。攻擊者-攻擊者排行：展示了攻擊次數(shù)排在前5的攻擊者排行，基本信息包括攻擊者IP和攻擊者的國(guó)家/城市。點(diǎn)擊攻擊者列表會(huì)打開新頁(yè)面展示時(shí)間段內(nèi)該攻擊者所有的攻擊詳情。受害者-受害資產(chǎn)排行：展示了被攻擊次數(shù)排在前5的受害資產(chǎn)排行，基本信息包括受害資產(chǎn)IP、受害資產(chǎn)所屬的資產(chǎn)組、受害資產(chǎn)類別和被攻擊次數(shù)。點(diǎn)擊受害資產(chǎn)列表會(huì)打開新頁(yè)面展示事件段內(nèi)該受害資產(chǎn)所有的被攻擊詳情。頁(yè)面右側(cè)包括攻擊態(tài)勢(shì)總覽、攻擊類型、攻擊趨勢(shì)三個(gè)模塊。攻擊態(tài)勢(shì)總覽：展示了時(shí)間段內(nèi)攻擊者數(shù)、攻擊總數(shù)和受害者數(shù)。點(diǎn)擊任一模塊都可以打開新頁(yè)面展示時(shí)間段內(nèi)所有的攻擊記錄詳情。攻擊類型：展示攻擊次數(shù)排序靠前的攻擊類型及其所對(duì)應(yīng)的攻擊次數(shù)；點(diǎn)擊任一攻擊類型會(huì)打開新頁(yè)面展示時(shí)間段內(nèi)該種攻擊類型的所有記錄詳情。攻擊趨勢(shì)：展示了攻擊次數(shù)隨時(shí)間變化趨勢(shì)情況。外連風(fēng)險(xiǎn)態(tài)勢(shì)外連風(fēng)險(xiǎn)態(tài)勢(shì)頁(yè)面用于展示內(nèi)部資產(chǎn)風(fēng)險(xiǎn)外連的情況。如圖3-18所示。圖3-18外聯(lián)風(fēng)險(xiǎn)態(tài)勢(shì)頁(yè)面說明：頁(yè)面主體為世界地圖/中國(guó)地圖/省市地圖，用于實(shí)時(shí)展示外連風(fēng)險(xiǎn)情況，國(guó)家或地區(qū)顏色由外連次數(shù)決定，外連次數(shù)越高，顏色越醒目；外連態(tài)勢(shì)由箭頭連接，指向外連目的IP。點(diǎn)擊“國(guó)際”/“國(guó)內(nèi)”可以切換世界/中國(guó)地圖，并會(huì)切換顯示“國(guó)家排行”/“城市排行”。國(guó)家排行/城市排行：展示外連事件數(shù)排行前5的外連攻擊者所屬的國(guó)家或城市及其所對(duì)應(yīng)的事件數(shù)；點(diǎn)擊任一國(guó)家或城市會(huì)打開新頁(yè)面展示目標(biāo)時(shí)間段內(nèi)，所有攻擊者屬于目標(biāo)國(guó)家或城市的外連風(fēng)險(xiǎn)記錄。頁(yè)面右側(cè)包括了外連風(fēng)險(xiǎn)態(tài)勢(shì)總覽、外連類型、外連趨勢(shì)三個(gè)模塊。外連風(fēng)險(xiǎn)態(tài)勢(shì)總覽：展示了時(shí)間段內(nèi)影響主機(jī)數(shù)和事件總數(shù)。點(diǎn)擊任一模塊都可以打開新頁(yè)面展示時(shí)間段內(nèi)所有的外連風(fēng)險(xiǎn)記錄詳情。外連類型：展示外連風(fēng)險(xiǎn)次數(shù)排序靠前的外連類型及其所對(duì)應(yīng)的外聯(lián)事件次數(shù)；點(diǎn)擊任一外連風(fēng)險(xiǎn)類型會(huì)打開新頁(yè)面展示時(shí)間段內(nèi)該種外連風(fēng)險(xiǎn)類型的所有記錄詳情。外連趨勢(shì)：展示了外連事件數(shù)量隨時(shí)間變化趨勢(shì)情況。頁(yè)面下方部分包括最新外連事件、資產(chǎn)外連排行、外連目標(biāo)排行三個(gè)模塊。最新外連模塊：滾動(dòng)展示最新的外連事件基本信息，包括時(shí)間、源IP、目的IP、目的城市、嚴(yán)重程度、外連類型、應(yīng)用層協(xié)議；鼠標(biāo)置于列表上時(shí)會(huì)自動(dòng)停止?jié)L動(dòng)；點(diǎn)擊任一記錄會(huì)打開新頁(yè)面展示事件詳情。資產(chǎn)外連排行：展示外連次數(shù)排行前5的資產(chǎn)基本信息，包括資產(chǎn)IP、資產(chǎn)組、類別、外連次數(shù)；點(diǎn)擊任一記錄會(huì)打開新頁(yè)面展示所有以此IP為源IP的外連事件。外連目標(biāo)排行：展示外連次數(shù)排行前5的目標(biāo)基本信息，包括外連IP、國(guó)家/城市、影響資產(chǎn)數(shù)、攻擊次數(shù)；點(diǎn)擊任一記錄會(huì)打開新頁(yè)面展示所有以此IP為目的IP的外連事件。橫向威脅態(tài)勢(shì)橫向威脅態(tài)勢(shì)頁(yè)面用于展示內(nèi)部資產(chǎn)之間的風(fēng)險(xiǎn)行為情況。如圖3-19所示。圖3-19橫向威脅態(tài)勢(shì)頁(yè)面說明：頁(yè)面主體為橫向威脅展示圖，分為自由排列和對(duì)稱排列兩種模式；自由排列模式中，源IP、目的IP、威脅類型連接組成圓形顯示。對(duì)稱排列模式中，淡紫色的資產(chǎn)為發(fā)起威脅資產(chǎn)，藍(lán)綠色資產(chǎn)為遭受威脅資產(chǎn)；兩種資產(chǎn)均包括服務(wù)器和終端兩種類型；橫向威脅類型包括APT惡意文件發(fā)現(xiàn)、惡意文件發(fā)現(xiàn)、系統(tǒng)漏洞攻擊、WEB應(yīng)用攻擊、暴力破解攻擊、網(wǎng)絡(luò)掃描探測(cè)。點(diǎn)擊頁(yè)面下方的“服務(wù)器”/“終端”按鈕可以過濾對(duì)應(yīng)的服務(wù)器或者終端。將鼠標(biāo)置于資產(chǎn)設(shè)備上時(shí)，頁(yè)面會(huì)自動(dòng)顯示與之有關(guān)的所有橫向威脅事件，并且會(huì)顯示資產(chǎn)設(shè)備的基本信息，包括主機(jī)IP、資產(chǎn)組、設(shè)備類型、發(fā)現(xiàn)方式、廠商、操作系統(tǒng)；具體如圖3-20所示。圖3-20點(diǎn)擊對(duì)應(yīng)的服務(wù)器/終端會(huì)打開新頁(yè)面展示所有以該種資產(chǎn)為“發(fā)起威脅”/“遭受威脅”的橫向威脅事件（取決于該資產(chǎn)屬于發(fā)起威脅資產(chǎn)還是遭受威脅資產(chǎn)）。頁(yè)面右邊部分包括威脅趨勢(shì)、發(fā)起資產(chǎn)威脅TOP5、遭受資產(chǎn)威脅TOP5三個(gè)模塊。威脅趨勢(shì)：展示橫向威脅事件數(shù)量隨事件變化趨勢(shì)。發(fā)起資產(chǎn)威脅TOP5：展示發(fā)起橫向威脅攻擊排行前5的資產(chǎn)，包括資產(chǎn)IP、所屬資產(chǎn)組、資產(chǎn)類別和攻擊次數(shù)；點(diǎn)擊資產(chǎn)會(huì)打開新頁(yè)面展示時(shí)間段內(nèi)所有由該資產(chǎn)發(fā)起的橫向威脅事件。遭受資產(chǎn)威脅TOP5：展示遭受橫向威脅攻擊排行前5的資產(chǎn)，包括資產(chǎn)IP、所屬資產(chǎn)組、資產(chǎn)類別和被攻擊次數(shù)；點(diǎn)擊資產(chǎn)會(huì)打開新頁(yè)面展示時(shí)間段內(nèi)所有該資產(chǎn)遭受的橫向威脅事件。護(hù)網(wǎng)工作臺(tái)威脅事件視角：威脅事件處置過程中的關(guān)聯(lián)分析，威脅溯源和威脅取證更方便，提升用戶處置威脅的效率。攻擊者視角：快速的定位攻擊者并進(jìn)行關(guān)聯(lián)分析和處置受害者視角：快速的定位受害者并進(jìn)行關(guān)聯(lián)分析和處置威脅事件過多的情況下，如何提升處置效率能夠?qū)粽吆褪芎φ叩慕嵌冗M(jìn)行快速處置，并能夠追溯攻擊者的攻擊過程和路徑；護(hù)網(wǎng)工作臺(tái)整體界面，分為三個(gè)搜索條件、統(tǒng)計(jì)信息（可折疊）、事件列表、攻擊者模式、受害者模式如圖3-21所示。圖3-21搜索保留了搜索語(yǔ)句查詢語(yǔ)法，并增加如HTTP方法、IOC、XFF和MD5值等常用字段搜索，并保留默認(rèn)如攻擊成功、web攻擊等場(chǎng)景快速搜索，并且可以新增監(jiān)測(cè)場(chǎng)景，可以返回上一次搜索條件，查詢最近搜索條件，收藏查詢條件和定時(shí)刷新設(shè)置，如圖3-22所示；圖3-22新增“統(tǒng)計(jì)信息”點(diǎn)擊可以展開相關(guān)統(tǒng)計(jì)圖標(biāo)如圖3-23所示；圖3-23事件列表有三個(gè)維度可以切換展示，分別是事件列表、攻擊模式和受害者模式，雙擊數(shù)據(jù)可以打開事件詳情，如圖3-24所示。圖3-24事件列表：所有事件的信息列表，如圖3-25所示圖3-25攻擊者模式:所有數(shù)據(jù)以攻擊者維度展示，如圖3-26所示圖3-26受害者模式：所有數(shù)據(jù)以受害者維度展示，如圖3-27。圖3-27事件列表雙擊打開某一條事件詳情，有基本信息、鍵值、源IP關(guān)聯(lián)事件、目的IP關(guān)聯(lián)事件展示，右上角可以切換上條和下一條、加入威脅白名單、收藏、導(dǎo)出json、下載PCAP和全屏等操作如圖3-28所示。圖3-28基本信息里面展示基本信息、文件相關(guān)信息（可以下載文件和查看文件報(bào)告）、載荷信息以及威脅描述&處置建議，如圖3-29所示。圖3-29鍵值形式分類方式顯示對(duì)應(yīng)字名稱和對(duì)應(yīng)值，如圖3-30所示。圖3-30源IP關(guān)聯(lián)事件以源IP相關(guān)聯(lián)相關(guān)信息分為兩種模式報(bào)告模式和事件列表，進(jìn)入默認(rèn)是報(bào)告模式展示IP信息，對(duì)應(yīng)事件總覽，比如發(fā)起了多少攻擊、攻擊成功了多少次等，以時(shí)間線展示關(guān)聯(lián)源IP的攻擊時(shí)間并給出處置建議如圖3-31所示。圖3-31事件以目的IP相關(guān)聯(lián)相關(guān)信息分為兩種模式報(bào)告模式和事件列表，進(jìn)入默認(rèn)是報(bào)告模式展示IP信息，對(duì)應(yīng)事件總覽，比如發(fā)起了多少攻擊、攻擊成功了多少次等，以時(shí)間線展示關(guān)聯(lián)目的IP的攻擊時(shí)間并給出處置建議如圖3-32所示。圖3-32源IP關(guān)聯(lián)事件和目的IP關(guān)聯(lián)事件列表如圖3-33所示。圖3-33如果事件是http協(xié)議并且是特征規(guī)則引擎檢測(cè)出的，點(diǎn)擊事件詳情還可以查看原始包信息和下載對(duì)應(yīng)PCAP包，其中如圖3-34所示圖3-34如果是攻擊者列表或者受害者列表打開事件詳情只有事件列表和報(bào)告模式，分別以攻擊者和受害者的模式角度展示。威脅分析文件分析惡意文件展示選定時(shí)間內(nèi)最近檢測(cè)出的10000個(gè)惡意文件。惡意文件頁(yè)面由文件類型（TOP5）、病毒家族統(tǒng)計(jì)（TOP5）、應(yīng)用層協(xié)議統(tǒng)計(jì)（TOP5），如圖3-35所示。圖3-35文件分析主頁(yè)面頁(yè)面說明：默認(rèn)展示當(dāng)天數(shù)據(jù)，正上方時(shí)間窗口設(shè)置時(shí)間范圍，其數(shù)據(jù)對(duì)應(yīng)展示。篩選框有源IP、目的IP、文件名、文件標(biāo)簽、威脅名稱，點(diǎn)擊更多還有病毒家族、應(yīng)用層協(xié)議、MD5、文件來源、平臺(tái)按鈕?？稍诰庉嬁蜉斎氩檎业膬?nèi)容，自動(dòng)篩選，若無匹配記錄，則無數(shù)據(jù)顯示，點(diǎn)擊放大鏡按鈕進(jìn)行自定義添加，刷新頁(yè)面后，自定義數(shù)據(jù)被清空。點(diǎn)擊“全選”按鈕全部選擇查詢，點(diǎn)擊“清除已選”按鈕被選擇的數(shù)據(jù)清空不被選擇。查詢條件設(shè)置后，點(diǎn)擊“搜索”按鈕，結(jié)果展示查詢條件交集。篩選結(jié)果針對(duì)整個(gè)頁(yè)面。鼠標(biāo)放置文件威脅-趨勢(shì)折線圖點(diǎn)上查看某個(gè)時(shí)間點(diǎn)檢測(cè)到的惡意文件數(shù)量。文件列表字段說明：字段描述說明發(fā)現(xiàn)時(shí)間發(fā)生時(shí)間文件被發(fā)現(xiàn)的時(shí)間文件名文件名稱可點(diǎn)擊將文件md5加入信譽(yù)白名單源IP流量傳輸該文件的源IP地址可點(diǎn)擊將IP地址加入信譽(yù)白名單目的IP流量傳輸該文件的目的IP地址可點(diǎn)擊將IP地址加入信譽(yù)白名單威脅名稱惡意文件的威脅名稱分為APT惡意文件、已知惡意文件、未知惡意文件、可疑惡意文件、變種惡意文件文件類型文件類型Exe、jpg等文件類型病毒家族病毒引擎檢測(cè)出的病毒家族TROJWARE::HEUR:Trojan.Win32.Generic文件標(biāo)簽惡意文件命中的標(biāo)簽反沙箱、加殼等應(yīng)用層協(xié)議傳輸文件的應(yīng)用層協(xié)議Pop3、smtp、http等平臺(tái)檢測(cè)該文件的平臺(tái)分為windows,linux,android文件來源文件來源分為系統(tǒng)提交、在線提交、本地提交和流量還原威脅等級(jí)病毒文件的威脅等級(jí)分為中危、高危、危急詳情文件報(bào)告詳情可點(diǎn)擊查看文件報(bào)告詳情點(diǎn)擊文件列表右上“下載”按鈕下載文件列表所有記錄并以csv格式保存。點(diǎn)擊“詳情”進(jìn)入文件報(bào)告，如圖3-36所示：圖3-36惡意文件詳情說明：基本信息：顯示惡意文件的基本信息，包括文件類型、威脅等級(jí)、威脅類型、MD5、病毒家族、基因命中情況、信譽(yù)名單、開源情報(bào)、標(biāo)簽。點(diǎn)擊右上角下載，可以分別下載相應(yīng)惡意文件樣本或相應(yīng)惡意文件在沙箱虛擬機(jī)中產(chǎn)生的流量包。文件下載信息：顯示文件名、攻擊鏈階段、資源地址、客戶端、內(nèi)容類型、源和目的的IP地址、地理位置和經(jīng)緯度。病毒檢測(cè)：顯示文件類型、文件大小、CRC32、哈希256，病毒引擎命中情況。沙箱簽名：顯示沙箱簽名，包括簽名描述、簽名類別、可信度和等級(jí)。網(wǎng)絡(luò)行為：惡意文件在沙箱虛擬機(jī)中產(chǎn)生的流量，可顯示協(xié)議、源IP、源端口、目的IP、目的端口。靜態(tài)檢測(cè)：惡意文件靜態(tài)檢測(cè)信息。啟發(fā)式檢測(cè)：惡意文件啟發(fā)式檢測(cè)信息。行為匯總：惡意文件在沙箱虛擬機(jī)中產(chǎn)生的行為。運(yùn)行截圖：惡意文件在沙箱虛擬機(jī)運(yùn)行中產(chǎn)生的截圖。流量特征檢測(cè)：惡意文件在沙箱虛擬機(jī)中產(chǎn)生的流量，經(jīng)特征引擎檢測(cè)后產(chǎn)生的事件。shellcode：惡意文件的shellcode信息。郵件分析入口方式：威脅分析>郵件威脅監(jiān)控郵件分析模塊用以集中處理存在安全問題的郵件，包括附件、正文等等任意位置存在安全風(fēng)險(xiǎn)的郵件。包括郵件列表、郵件附件列表、郵件定向攻擊和域名組織四個(gè)模塊。郵件列表模塊郵件列表頁(yè)面用于展示所有存在安全風(fēng)險(xiǎn)的郵件。如圖3-37所示。圖3-37郵件列表頁(yè)面說明：收件組織：用于輸入目標(biāo)收件組織的域名，支持同時(shí)選擇多個(gè)。威脅等級(jí)：分為低危、中危、高危、危急，支持同時(shí)選擇多個(gè)，支持全選和清除已選。郵件ID：用于輸入目標(biāo)郵件ID，一次僅支持單個(gè)郵件ID。郵件ID示例：<1163767797.20171010162325@.mx>，其中<>不可以省略。郵件列表：用于展示所有包含安全風(fēng)險(xiǎn)的郵件，包含最近檢測(cè)時(shí)間、發(fā)件人、收件人信息、主題、檢測(cè)結(jié)果、郵件ID/郵件狀態(tài)、威脅等級(jí)、操作等多個(gè)字段，默認(rèn)按照最近檢測(cè)時(shí)間倒序排序。郵件列表詳情：點(diǎn)擊郵件列表右邊的“詳情”可以查看該郵件的詳細(xì)信息，包括發(fā)件人、發(fā)送時(shí)間、收件人、抄送、主題、郵件正文和郵件附件。其中頁(yè)面下方的郵件附件包括了文件名、文件類型、文件大小、檢測(cè)結(jié)果和操作。查看郵件附件：點(diǎn)擊右側(cè)“附件”可以查看選中郵件的附件包括文件名和檢測(cè)結(jié)果，在彈窗中點(diǎn)擊“詳情”會(huì)打開新頁(yè)面如圖：可以查看郵件附件的更多信息，具體參照章節(jié)3.8.2“惡意文件”。如圖3-38所示。圖3-38附件列表查看郵件收發(fā)信息：點(diǎn)擊右側(cè)“收發(fā)信息”會(huì)打開彈窗，可以查看完整的文件收發(fā)時(shí)間節(jié)點(diǎn)和流程節(jié)點(diǎn)，最右側(cè)是完整的收件人列表。具體如圖3-39所示：圖3-39郵件附件列表郵件附件列表頁(yè)面用于展示所有存在安全風(fēng)險(xiǎn)的郵件附件。頁(yè)面如圖3-40所示：圖3-40郵件附件列表頁(yè)面說明：收件組織：用于輸入目標(biāo)收件組織的域名，支持同時(shí)選擇多個(gè)。威脅等級(jí)：分為低危、中危、高危、危急，支持同時(shí)選擇多個(gè)，支持全選和清除已選。MD5：用于輸入目標(biāo)郵件附件文件的MD5值，一次僅支持單個(gè)MD5。郵件附件列表：用于展示所有包含安全風(fēng)險(xiǎn)的郵件，包括最近檢測(cè)時(shí)間、文件名/MD5、檢測(cè)結(jié)果、發(fā)件人、收件人、主題、威脅等級(jí)、操作等多個(gè)字段，默認(rèn)按照最近檢測(cè)時(shí)間倒序排序。文件名在列表中顯示為藍(lán)色，點(diǎn)擊“文件名”，根據(jù)泛化后的文件名ffilename重新搜索擁有相同ffilename的附件并在新頁(yè)面展示附件列表。查看附件文件詳情：點(diǎn)擊郵件列表右邊的“詳情”會(huì)打開新頁(yè)面展示附件文件的更多信息。附件文件的文件追蹤：點(diǎn)擊右側(cè)的“文件追蹤”可以打開彈窗，展示的結(jié)果為根據(jù)文件MD5檢索包含該文件所有歷史郵件，包括展示郵件基本信息和該文件在此郵件中的附件名(注：同一個(gè)文件在不同郵件中名稱可能會(huì)不一致)。點(diǎn)擊“郵件詳情”可跳轉(zhuǎn)到郵件詳情頁(yè)面。郵件定向攻擊郵件定向攻擊頁(yè)面用于展示被大規(guī)模釣魚郵件攻擊的企業(yè)組織以及文件、郵件情況，頁(yè)面如圖3-41所示：圖3-41頁(yè)面說明：被攻擊組織：用于選擇被攻擊組織，點(diǎn)擊下拉框會(huì)自動(dòng)列出所有被攻擊組織域名列表，支持組織域名全選和清除已選。定向攻擊基本信息：用于展示所選組織被攻擊的詳細(xì)信息，包括被攻擊組織的域名、最近檢測(cè)時(shí)間、郵件附件、檢測(cè)結(jié)果、發(fā)件郵箱、收件郵箱和其他操作。郵件列表：根據(jù)郵件ID打開新頁(yè)面展示關(guān)聯(lián)的所有郵件列表。附件列表：根據(jù)附件文件MD5打開新頁(yè)面展示關(guān)聯(lián)的所有附件列表。域名組織域名組織頁(yè)面用于添加、編輯、刪除收件人組織域名所對(duì)應(yīng)的名稱。具體如圖3-42：圖3-42添加域名：點(diǎn)擊“添加”可以添加收件人組織信息，其中收件人組織和域名是必填項(xiàng)。編輯和刪除：點(diǎn)擊“編輯”可以修改選中的收件人組織信息，選中一個(gè)或多個(gè)收件人組織后，點(diǎn)擊“刪除”可以批量刪除收件人組織。待添加列表：待添加列表用于展示系統(tǒng)自動(dòng)分析收件人的郵箱域名所得到的結(jié)果，用戶可以通過點(diǎn)擊域名將其添加到收件人組織信息中。網(wǎng)流量追溯在Tor網(wǎng)絡(luò)建立連接的過程中，洋蔥代理會(huì)隨機(jī)選擇3個(gè)可用的洋蔥路由器分別作為Tor網(wǎng)絡(luò)的入口節(jié)點(diǎn)、中繼節(jié)點(diǎn)和出口節(jié)點(diǎn)，使用3個(gè)會(huì)話密鑰依次對(duì)消息進(jìn)行加密，最后將加密的數(shù)據(jù)包發(fā)送至入口節(jié)點(diǎn)。入口節(jié)點(diǎn)、中繼節(jié)點(diǎn)RN和出口節(jié)點(diǎn)EN依次使用共享的會(huì)話密鑰對(duì)數(shù)據(jù)包進(jìn)行解密，并發(fā)往下一跳，使得數(shù)據(jù)包最終由EN以明文的形式發(fā)送至目標(biāo)站點(diǎn)。暗網(wǎng)流量威脅報(bào)表是對(duì)Tor洋蔥網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)，此報(bào)表通過威脅趨勢(shì)IP、端口、服務(wù)器以及威脅情報(bào)檢測(cè)、異常特征檢測(cè)和AI步態(tài)指紋檢測(cè)幾個(gè)模塊展示。如圖3-43所示。圖3-43惡意加密流量追溯。惡意加密流量監(jiān)測(cè)模塊是展示固定時(shí)間內(nèi)加密流量的告警次數(shù)，系統(tǒng)通過AI檢測(cè)引擎、威脅情報(bào)檢測(cè)引擎對(duì)惡意加密會(huì)話進(jìn)行檢測(cè)報(bào)警。如圖3-44所示。圖3-44威脅報(bào)告報(bào)告列表該模塊主要展示當(dāng)前生成以往歷史的報(bào)告和手動(dòng)導(dǎo)出的自定義報(bào)表，并可已有的歷史報(bào)表進(jìn)行模糊搜索和對(duì)報(bào)告進(jìn)行刪除下載。如圖3-45所示。圖3-45說明：日?qǐng)?bào)、周報(bào)、月報(bào)分別于每天、每周一、每月一日的01:00自動(dòng)生成；手動(dòng)導(dǎo)出的報(bào)告也將在該列表顯示；報(bào)告只包含未處理風(fēng)險(xiǎn)主機(jī)。手動(dòng)導(dǎo)出分為客戶端（這里指的瀏覽器）、web容應(yīng)用邏輯和數(shù)據(jù)庫(kù)服務(wù)器4層結(jié)構(gòu)，系統(tǒng)層次如圖3-2所示。該模塊可自定義用戶需要導(dǎo)出的報(bào)告內(nèi)容，包括設(shè)定報(bào)告主題名稱，報(bào)告模板類型，報(bào)告解析時(shí)間范圍，報(bào)告涉及資產(chǎn)服務(wù)器和終端個(gè)數(shù)等，在配置信息后點(diǎn)擊下方生成報(bào)表按鈕，開始生成報(bào)告。如圖3-46所示。圖3-46說明：報(bào)表名稱：必填項(xiàng)，支持中英文、數(shù)字及符號(hào)。預(yù)覽目錄：顯示系統(tǒng)已有的目錄模板。報(bào)告模板：是指報(bào)表展示形式，目前只支持一種模板。時(shí)間范圍：生成報(bào)表選擇威脅事件及資產(chǎn)時(shí)間范圍。點(diǎn)擊右側(cè)日歷按鈕打開時(shí)間選擇窗口，和整體范圍時(shí)間選擇窗口一致。但不允許選擇超過當(dāng)前時(shí)間的以后的時(shí)間。服務(wù)器個(gè)數(shù)：優(yōu)先選擇排名靠前的高危服務(wù)器資產(chǎn)作為報(bào)告對(duì)象，可選個(gè)數(shù)10/20/50。終端個(gè)數(shù)：優(yōu)先選擇排名靠前的高危終端資產(chǎn)作為報(bào)告對(duì)象，可選個(gè)數(shù)10/20/50。單位：設(shè)置此次生成報(bào)告的單位名稱（優(yōu)先級(jí)高于報(bào)告設(shè)置中填寫的單位）。負(fù)責(zé)人：設(shè)置此次生成報(bào)告的負(fù)責(zé)人（優(yōu)先級(jí)高于報(bào)告設(shè)置中填寫的負(fù)責(zé)人）。設(shè)置完成后，點(diǎn)擊按鈕，彈出下發(fā)任務(wù)成功對(duì)話框，即在報(bào)表列表顯示任務(wù)。報(bào)告設(shè)置分為客戶端（這里指的瀏覽器）、web容應(yīng)用邏輯和數(shù)據(jù)庫(kù)服務(wù)器4層結(jié)構(gòu)，系統(tǒng)層次如圖3-2所示。報(bào)表設(shè)置是針對(duì)自動(dòng)化表做的用戶自定義設(shè)置，上傳圖片要求：避免分辨率過低（圖片失幀）；上傳文件圖片的長(zhǎng)和寬要相等；上傳支持文件格式為jpg，png，jpeg等格式；報(bào)告logo默認(rèn)按照oem執(zhí)行，如在此上傳logo，報(bào)告會(huì)優(yōu)先顯示上傳的logo。如圖3-47所示圖3-47說明：?jiǎn)挝唬涸O(shè)置所有報(bào)告默認(rèn)的單位。負(fù)責(zé)人：設(shè)置所有報(bào)告默認(rèn)的負(fù)責(zé)人。響應(yīng)處置威脅響應(yīng)策略TCP阻斷是指阻斷tcp連接的建立和對(duì)于已經(jīng)建立起來的連接進(jìn)行中斷。點(diǎn)擊開啟按鈕并確定開啟后生效。防火墻聯(lián)動(dòng)設(shè)置默認(rèn)關(guān)閉，勾選后填寫正確的防火墻IP地址可定制化聯(lián)動(dòng)，無效IP或無法聯(lián)動(dòng)的IP地址系統(tǒng)會(huì)自動(dòng)檢測(cè)并且給出相應(yīng)提示。如圖3-48所示。圖3-48告警通知策略將告警以郵件的形式發(fā)送給指定通知人。說明：監(jiān)控主機(jī)：指定需要監(jiān)控的資產(chǎn)，支持單個(gè)IP，CIDR和IP范圍（-00）方式填寫，不填監(jiān)控全部資產(chǎn)。告警類型：指定需要監(jiān)控的告警類型，默認(rèn)監(jiān)控全部類型。威脅等級(jí)：指定需要監(jiān)控的威脅等級(jí)，默認(rèn)監(jiān)控高危和危急。確信度：指定需要監(jiān)控的確信度，默認(rèn)監(jiān)控高可信。通知方式：通知發(fā)送時(shí)間間隔，可選擇每小時(shí)、每6小時(shí)、每12小時(shí)、每天，默認(rèn)每小時(shí)。收件人：指定郵件收件人，可填寫多個(gè)。告警最多只推送最近100條。如果最近時(shí)間間隔沒有告警發(fā)生，則不發(fā)送郵件。如圖3-49所示圖3-49郵件設(shè)置郵件設(shè)置是對(duì)郵件告警的發(fā)件人郵箱以及郵件服務(wù)器地址進(jìn)行配置。如圖3-50所示。圖3-50說明：發(fā)件人郵箱：設(shè)置發(fā)件人郵箱地址。SMTP郵件服務(wù)器:設(shè)置發(fā)件服務(wù)器地址。端口：SMTP郵件服務(wù)器端口。用戶名：設(shè)置發(fā)件人的用戶名。密碼:發(fā)件人郵箱密碼。加密:默認(rèn)不加密，如果開啟加密，可選擇SSL加密和TSL加密兩種方式。發(fā)送測(cè)試郵件:郵件編輯后，給當(dāng)前系統(tǒng)登錄用戶配置郵箱（可點(diǎn)擊配置），可以發(fā)送測(cè)試郵件測(cè)試配置是否正確，如配置成功可在當(dāng)前系統(tǒng)登錄用戶的郵箱中收到測(cè)試郵件。如圖3-51所示。圖3-51平臺(tái)設(shè)置自有平臺(tái)配置設(shè)置僅支持1路syslog，向自有平臺(tái)傳送syslog。默認(rèn)關(guān)閉，可點(diǎn)擊進(jìn)行編輯，配置主機(jī)、端口、協(xié)議、數(shù)據(jù)格式、文件檢測(cè)信息、告警事件、資產(chǎn)信息輸出、元數(shù)據(jù)輸出、威脅等級(jí)、文件傳輸。如圖3-52所示。圖3-52說明：協(xié)議支持udp和tcp兩種。數(shù)據(jù)格式支持json和csv兩種。告警事件開啟后可配置威脅等級(jí)，關(guān)閉無法配置威脅等級(jí)。元數(shù)據(jù)輸出開啟后可配置元數(shù)據(jù)，關(guān)閉無法配置元數(shù)據(jù)種類。文件傳輸開啟后可配置文件傳輸情況，關(guān)閉無法配置。Kafka設(shè)置Kafka發(fā)送配置狀態(tài)默認(rèn)禁用，點(diǎn)擊啟用可進(jìn)行配置。主題、服務(wù)器列表、發(fā)送者為必填，服務(wù)器列表支持一次添加多個(gè)；服務(wù)器響應(yīng)、是否壓縮、編碼格式需要自行設(shè)置，點(diǎn)擊確認(rèn)保存。如圖3-53所示。圖3-53Syslog設(shè)置第三方Syslog設(shè)置支持多路syslog將數(shù)據(jù)傳輸?shù)蕉鄠€(gè)數(shù)據(jù)平臺(tái)，默認(rèn)無syslog配置，可點(diǎn)擊添加按鈕進(jìn)行添加，配置主機(jī)、端口、協(xié)議、數(shù)據(jù)格式、文件檢測(cè)信息、告警事件、資產(chǎn)信息輸出、元數(shù)據(jù)輸出和威脅等級(jí)。如圖3-54所示。圖3-54資產(chǎn)管理資產(chǎn)列表資產(chǎn)是基于流量發(fā)現(xiàn)的內(nèi)部資產(chǎn)以及手動(dòng)添加的資產(chǎn)，該模塊主要有添加資產(chǎn)、資產(chǎn)篩選過濾、資產(chǎn)編輯、資產(chǎn)刪除、資產(chǎn)信息匯總等功能。如圖3-55所示。圖3-55添加資產(chǎn)點(diǎn)擊右上角“添加資產(chǎn)”通過手動(dòng)添加或?qū)隿sv固定格式文件進(jìn)行資產(chǎn)添加。手動(dòng)添加，如圖3-56所示。圖3-56信息填寫完成，點(diǎn)擊“確定”按鈕完成資產(chǎn)添加，即可在資產(chǎn)列表中查看。說明：為必填項(xiàng)。IP地址為標(biāo)準(zhǔn)IP才可被添加。資產(chǎn)名稱、所有者支持字符、中文、數(shù)字和符號(hào)。設(shè)備類型支持服務(wù)器、終端兩種類型，每種設(shè)備類型有更具體的設(shè)備類型可供選擇，如服務(wù)器類型下分為網(wǎng)關(guān)、路由器、IDS等。資產(chǎn)組默認(rèn)為空，選擇下拉列表預(yù)定義的資產(chǎn)組，支持當(dāng)前頁(yè)面直接新建資產(chǎn)組，點(diǎn)擊“”按鈕進(jìn)行添加，添加成功后資產(chǎn)組列表立即展示新加資產(chǎn)組，具體操作參考“資產(chǎn)組添加模塊”。添加資產(chǎn)描述是對(duì)資產(chǎn)詳細(xì)的備注描述，用戶可自定義添加信息。導(dǎo)入添加：點(diǎn)擊添加資產(chǎn)>導(dǎo)入文件導(dǎo)入，如圖3-57所示圖3-56說明：下載模板名稱為asset的csv文件，填寫基本信息，如下圖3-57所示：點(diǎn)擊“上傳”按鈕選擇資產(chǎn)文件上傳后點(diǎn)擊“確認(rèn)”按鈕，資產(chǎn)列表即刻更新。圖3-57導(dǎo)入模板資產(chǎn)過濾可通過資產(chǎn)過濾模塊通過資產(chǎn)權(quán)重，設(shè)備類型，更新時(shí)間，資產(chǎn)組，來源以及IP等信息進(jìn)行篩選。權(quán)重：選擇資產(chǎn)的權(quán)重，默認(rèn)值為2。更新時(shí)間：被加入的資產(chǎn)被更新的時(shí)，支持最近一天、最近一周、最近一個(gè)月、自定義幾個(gè)選項(xiàng)查詢，選擇自定義會(huì)打開時(shí)間窗口。搜索框支持資產(chǎn)名稱、IP、MAC地址、操作系統(tǒng)、制造商信息查詢。只支持一個(gè)條件搜索。資產(chǎn)過濾搜索支持多條件組合交集查詢。點(diǎn)擊右上角“”按鈕，對(duì)過濾條件全部清空，展示所有數(shù)據(jù)。資產(chǎn)列表列出所有被識(shí)別的資產(chǎn)，歷史資產(chǎn)不會(huì)隨網(wǎng)段更改而變化，比如修改內(nèi)部網(wǎng)段資產(chǎn)為外部資產(chǎn)不會(huì)影響歷史資產(chǎn)，資產(chǎn)仍然在列表展示。圖3-58說明：點(diǎn)擊資產(chǎn)列表的“”按鈕查看與該資產(chǎn)相關(guān)的軟件、服務(wù)和賬號(hào)信息，展示IP地址、軟件名、資產(chǎn)識(shí)別來源等資產(chǎn)基本信息。如圖3-58所示。軟件頁(yè)面掃描時(shí)間指資產(chǎn)最后一次被掃描到的時(shí)間，來源目前只有行為檢測(cè)引擎。編輯資產(chǎn)資產(chǎn)信息均可被讀取并顯示，點(diǎn)擊詳情的“”按鈕基于原始內(nèi)容進(jìn)行編輯，其中IP地址不可更改，其他均可被編輯。編輯完成需點(diǎn)擊“確定”按鈕提交更新資產(chǎn)信息。如圖3-59所示。圖3-59刪除資產(chǎn)選擇單個(gè)和多個(gè)資產(chǎn)后點(diǎn)擊右上角“”按鈕進(jìn)行資產(chǎn)刪除。資產(chǎn)組資產(chǎn)組是對(duì)資產(chǎn)的分組管理，包括資產(chǎn)組添加、編輯、查看、刪除，過濾等。資產(chǎn)組添加點(diǎn)擊右上角“添加資產(chǎn)組”按鈕打開添加資產(chǎn)組對(duì)話框，如圖3-60所示：圖3-60新增資產(chǎn)組默認(rèn)展示“可添加資產(chǎn)”列表，點(diǎn)擊列表中的每個(gè)資產(chǎn)的“”按鈕將其添加至“已添加資產(chǎn)”列表，點(diǎn)擊“已添加/可添加資產(chǎn)”切換按鈕進(jìn)行資產(chǎn)列表切換?？商砑淤Y產(chǎn)表示當(dāng)前資產(chǎn)未在此資產(chǎn)組，可加入此資產(chǎn)組列表；已添加資產(chǎn)表示已經(jīng)存在此資產(chǎn)列表的資產(chǎn)。添加資產(chǎn)前必須填寫“資產(chǎn)組名稱”和“管理者”信息，否則無法添加。在資產(chǎn)IP編輯框中輸入IP點(diǎn)擊“篩選”按鈕進(jìn)行搜索，僅支持單個(gè)IP搜索。說明：資產(chǎn)組名稱和管理者為必填項(xiàng)，超過允許字符長(zhǎng)度系統(tǒng)會(huì)有相應(yīng)提示。資產(chǎn)成員默認(rèn)顯示所有IP。搜索框支持從前往后模糊查詢，例如搜索54，則輸入5再點(diǎn)擊“搜索”按鈕可展示所有包含10.1.*.*的資產(chǎn)IP,如果直接填寫“25”，則無法識(shí)別。在資產(chǎn)IP列表復(fù)選框前勾選，可選擇多個(gè)，點(diǎn)擊全選按鈕僅添加當(dāng)前頁(yè)面所有資產(chǎn)?？蓪?duì)資產(chǎn)組列表中已存在的資產(chǎn)進(jìn)行單個(gè)和多個(gè)移除，選擇資產(chǎn)后點(diǎn)擊“移除”按鈕，即進(jìn)入可添加資產(chǎn)列表。如圖3-61所示。圖3-61選擇單個(gè)和多個(gè)IP點(diǎn)擊“添加”和“批量添加”按鈕后點(diǎn)擊“確定”按鈕完成資產(chǎn)組添加。資產(chǎn)組編輯在資產(chǎn)組列表操作列點(diǎn)擊“”按鈕打開編輯資產(chǎn)組對(duì)話框，支持修改資產(chǎn)組名稱和管理者以及資產(chǎn)添加刪除。完成編輯點(diǎn)擊“確定”按鈕更新。資產(chǎn)組刪除在資產(chǎn)組列表操作列點(diǎn)擊按鈕彈出確定提示信息，點(diǎn)擊“確定”按鈕完成資產(chǎn)組刪除，點(diǎn)擊“取消”按鈕關(guān)閉對(duì)話框。如圖3-62所示。圖3-62資產(chǎn)組查看詳情在資產(chǎn)組列表操作列點(diǎn)擊按鈕打開資產(chǎn)組詳情頁(yè)面，包括資產(chǎn)組名稱、軟件服務(wù)資產(chǎn)信息。如圖3-63所示。圖3-63說明：點(diǎn)擊右上方“編輯”按鈕打開“編輯資產(chǎn)組”對(duì)話框。點(diǎn)擊下方軟件、服務(wù)和資產(chǎn)標(biāo)簽頁(yè)進(jìn)行切換。各個(gè)界面均展示軟件、服務(wù)和資產(chǎn)總數(shù)量的條形圖，資產(chǎn)標(biāo)簽頁(yè)界面環(huán)形圖展示該資產(chǎn)組所有的設(shè)備類型，軟件標(biāo)簽頁(yè)環(huán)形圖代表軟件類型，服務(wù)標(biāo)簽頁(yè)環(huán)形圖代表服務(wù)協(xié)議。如圖3-64所示。圖3-64資產(chǎn)組過濾通過資產(chǎn)組過濾模塊可通過限制入網(wǎng)時(shí)間，更新時(shí)間，以及資產(chǎn)組名稱、管理者等信息進(jìn)行篩選。入網(wǎng)時(shí)間：資產(chǎn)組被創(chuàng)建的時(shí)間，支持最近一天、最近一周、最近一個(gè)月、自定義幾個(gè)選項(xiàng)查詢，選擇自定義會(huì)打開時(shí)間窗口。更新時(shí)間：資產(chǎn)組被編輯更新的時(shí)間，支持最近一天、最近一周、最近一個(gè)月、自定義幾個(gè)選項(xiàng)查詢，選擇自定義會(huì)打開時(shí)間窗口。搜索框：支持資產(chǎn)組名稱、管理者信息查詢。只支持一個(gè)條件搜索。選擇多個(gè)條件進(jìn)行組合交集查詢，點(diǎn)擊右上角按鈕，對(duì)過濾條件全部清空，展示所有數(shù)據(jù)。如圖3-65所示：圖3-65資產(chǎn)網(wǎng)段資產(chǎn)網(wǎng)段管理用于劃定資產(chǎn)范圍，屬于網(wǎng)段內(nèi)的IP，系統(tǒng)會(huì)進(jìn)一步探測(cè)并解析獲取該IP對(duì)應(yīng)的資產(chǎn)信息，包括操作系統(tǒng)信息、端口服務(wù)信息、用戶信息等。默認(rèn)檢測(cè)五個(gè)內(nèi)網(wǎng)網(wǎng)段：/16、/12、/8、/8、/16，并在網(wǎng)段管理頁(yè)面展示。系統(tǒng)初始化后所有的資產(chǎn)設(shè)備類型為終端通用設(shè)備，用戶可自定義編輯、添加、刪除。如圖3-66所示。圖3-66網(wǎng)段的任何變更必須點(diǎn)擊按鈕激活網(wǎng)段配置才生效，此過程需要幾分鐘。網(wǎng)段添加點(diǎn)擊右上角“添加網(wǎng)段”按鈕添加檢測(cè)網(wǎng)段，如圖3-67所示。圖3-67說明：網(wǎng)段編輯框只支持CIDR格式，即IP/網(wǎng)絡(luò)前綴，如/16，不支持IP格式。并做實(shí)時(shí)校驗(yàn)。設(shè)備類型和資產(chǎn)模塊的設(shè)備類型保持一致。經(jīng)度范圍為-180~180、緯度范圍為-90到90。添加網(wǎng)段對(duì)話框所有編輯框都為必填項(xiàng)，編輯完成點(diǎn)擊“確定”按鈕提示添加成功即完成網(wǎng)段添加。網(wǎng)段編輯點(diǎn)擊網(wǎng)段列表右側(cè)的“編輯”按鈕可對(duì)其進(jìn)行編輯。如圖3-68所示。圖3-68網(wǎng)段刪除點(diǎn)擊每個(gè)網(wǎng)段的“刪除”按鈕，彈出如下對(duì)話框，點(diǎn)擊刪除網(wǎng)段，點(diǎn)擊取消刪除操作。如圖3-69所示。圖3-69日志檢索威脅日志入口方式：日志檢索>威脅日志事件追溯模塊支持展示所有威脅事件記錄、會(huì)話詳情展示、事件查詢、事件下載、檢測(cè)規(guī)則直接關(guān)閉、一鍵加入白名單、情報(bào)關(guān)聯(lián)信息、元數(shù)據(jù)關(guān)聯(lián)追溯等功能。頁(yè)面說明：快速查詢：提供固定的查詢字段，點(diǎn)擊可快速查詢。搜索框查詢，默認(rèn)展示查詢字段有：時(shí)間范圍、訪問方向、威脅等級(jí)、威脅類型、查詢IP、應(yīng)用層協(xié)議、攻擊狀態(tài)和查詢語(yǔ)句。點(diǎn)擊“全部展開”可展示更多查詢字段，其中：HTTP相關(guān)：HTTP狀態(tài)碼、HTTP請(qǐng)求方法、域名，郵件相關(guān)：發(fā)件人郵箱地址、收件人郵箱地址、郵件主題，文件相關(guān)：文件MD5、文件名，還包括傳輸層協(xié)議和事件ID。具體如圖3-70所示：圖3-70在查詢條件設(shè)置完成后，點(diǎn)擊“查詢”查看符合條件的所有事件，點(diǎn)擊“重置”來重置除事件外的所有篩選條件。點(diǎn)擊“全部訪問方向”可設(shè)置事件的訪問方向篩選條件，具體如圖3-71所示：圖3-71查詢頁(yè)面支持查看歷史記錄，歷史記錄詳情包括查詢時(shí)間、查詢條件、起始時(shí)間和結(jié)束時(shí)間。歷史記錄支持刪除和批量刪除，同時(shí)支持根據(jù)歷史記錄查詢。點(diǎn)擊“查詢歷史”即可查看，具體如圖3-72所示：圖3-72查詢結(jié)果展示-事件分類。事件分類依據(jù)威脅類型統(tǒng)計(jì)，包括事件數(shù)和該種威脅類型事件數(shù)的占比，并按照降序排列。默認(rèn)收起部分威脅類型的查詢結(jié)果，點(diǎn)擊“展開”按鈕可查看所有威脅類型的查詢結(jié)果。點(diǎn)擊“隱藏圖表”按鈕可收起查詢結(jié)果。點(diǎn)擊任一時(shí)間類別可查看該類別所有事件，點(diǎn)擊“重置”可恢復(fù)展示所有類別。具體如圖3-73所示：圖3-73查詢結(jié)果展示-時(shí)間趨勢(shì)。時(shí)間趨勢(shì)圖用于展示查詢時(shí)間范圍內(nèi)的事件數(shù)的時(shí)間分布情況。橫軸為時(shí)間，縱軸為事件數(shù)。點(diǎn)擊右側(cè)橫向選擇，按鈕變成藍(lán)色，鼠標(biāo)指針變成十字，可在趨勢(shì)圖上點(diǎn)擊左鍵拉動(dòng)選中一段時(shí)間，趨勢(shì)圖會(huì)自動(dòng)適應(yīng)新的時(shí)間范圍查看此段時(shí)間的數(shù)據(jù)，具體形式如圖3-74所示：點(diǎn)擊“隱藏列表”按鈕可收起時(shí)間趨勢(shì)圖。圖3-74查詢結(jié)果展示-列表展示。查詢結(jié)果支持按發(fā)現(xiàn)時(shí)間、威脅等級(jí)、應(yīng)用層協(xié)議正序/倒序排序；支持一鍵“全部導(dǎo)出”為JSON和XLSX格式；對(duì)于每條事件支持“加入白名單”。查詢結(jié)果展示-列表詳情展示。列表詳情信息展示包括「默認(rèn)」、「鍵/值」以及「Json」三種方式，其中「默認(rèn)」方式包括訪問信息、檢測(cè)信息、情報(bào)庫(kù)相關(guān)信息、同會(huì)話關(guān)聯(lián)事件（注：存在才顯示）以及其他信息。同時(shí)若http類型事件返回類型為html，點(diǎn)擊支持在線渲染查看內(nèi)容。對(duì)于同會(huì)話關(guān)聯(lián)事件，可以點(diǎn)擊事件數(shù)打開新頁(yè)面查看所有關(guān)聯(lián)事件；也可以點(diǎn)擊事件類型分別查看。事件詳情的多種操作。事件詳情的操作包括“相關(guān)事件查詢”、“元數(shù)據(jù)追溯”、“PCAP包下載”和“導(dǎo)出”。相關(guān)事件查詢：支持提取相應(yīng)條件進(jìn)行組合過濾，過濾類型則包括正選和反選，如圖3-75所示：圖3-75元數(shù)據(jù)追溯：為按照事件中的5元元組相同的條件檢索。PCAP包下載：可以下載該事件對(duì)應(yīng)的PCAP包，如果沒有則不顯示該按鈕。導(dǎo)出：支持以JSON或XLSX文件形式到導(dǎo)出事件的基礎(chǔ)信息。文件檢測(cè)日志文件檢測(cè)日志模塊展示選定時(shí)間內(nèi)所有的還原文件和手動(dòng)上傳文件的檢測(cè)結(jié)果，包含所有的安全文件和威脅文件的統(tǒng)計(jì)數(shù)量，文件威脅等級(jí)對(duì)應(yīng)的數(shù)量，文件上傳下載的源/目的IP，文件來源地址/郵件，文件相關(guān)url，文件類型，病毒引擎命中比例餅圖，基因命中比例餅圖，高危文件病毒家族，文件報(bào)告列表等。如圖3-76所示。圖3-76在文件報(bào)告列表中點(diǎn)擊該事件左側(cè)可展開該事件，進(jìn)一步查看該事件詳細(xì)通信參數(shù)，并可通過篩選該字段，通過過濾該事件，通過將該字段添加至展示列表，點(diǎn)擊威脅文件報(bào)告跳轉(zhuǎn)至惡意文件->文件詳情報(bào)告頁(yè)面，安全文件（威脅嚴(yán)重性為0）跳轉(zhuǎn)界面會(huì)提示文件未保存，可點(diǎn)擊“返回首頁(yè)”回到“威脅導(dǎo)覽”界面。如圖3-77所示。圖3-77網(wǎng)絡(luò)日志主要功能：檢索查看和導(dǎo)出選定時(shí)間范圍內(nèi)的所有歷史數(shù)據(jù)，協(xié)議元數(shù)據(jù)。點(diǎn)擊時(shí)間編輯框打開日歷，可選擇所有的時(shí)間范圍，點(diǎn)擊時(shí)間按鈕支持快速時(shí)間選擇。如圖3-78所示。圖3-78默認(rèn)顯示威脅日志和簡(jiǎn)單快捷搜索，點(diǎn)擊索引打開并選擇關(guān)注的單個(gè)或多個(gè)協(xié)議數(shù)據(jù)索引界面。選擇索引后可點(diǎn)擊“篩選”和“排除”字段，字段隨索引變化，填寫匹配值，點(diǎn)擊“”增加搜索條件，在下一行展示添加的條件，點(diǎn)擊“檢索”即可出現(xiàn)結(jié)果。點(diǎn)擊“快捷”按鈕轉(zhuǎn)換為專業(yè)搜索模式，支持正則匹配，點(diǎn)擊搜索框右側(cè)的“”按鈕展開查詢語(yǔ)法解釋。如圖3-79所示。圖3-79搜索條件支持通過“”進(jìn)行收藏，打開收藏夾展示搜索條件快速搜索和條件刪除。如圖3-80所示。圖3-80點(diǎn)擊“”查看所有的搜索條件，支持快速搜索和歷史記錄刪除。如圖3-81所示。圖3-81點(diǎn)擊“”按鈕將鏈接復(fù)制直接分享給其他用戶進(jìn)行快速搜索。如圖3-82所示。圖3-82點(diǎn)擊可選字段前的復(fù)選框加入關(guān)注字段，在日志內(nèi)容中切換為列展示。點(diǎn)擊每條記錄前的“”展開記錄詳情，點(diǎn)擊“”切換為關(guān)注字段列展示。點(diǎn)擊“”篩選當(dāng)前字段值，點(diǎn)擊“”排除當(dāng)前字段值。如圖3-83所示。圖3-83點(diǎn)擊列表的右側(cè)“導(dǎo)出日志”按鈕，日志格式可選擇csv或json保存，最多支持導(dǎo)出100000條。默認(rèn)下載所有的字段，選擇關(guān)注字段，則只下載關(guān)注字段列表。如圖3-84所示。圖3-84離線分析流量包分析該頁(yè)面展示抓包分析與流量包回放分析兩個(gè)環(huán)節(jié)。抓包分析主要實(shí)現(xiàn)抓取流量包，點(diǎn)擊添加按鈕打開添加任務(wù)對(duì)話框，指定PCAP包大小和指定時(shí)間并且設(shè)定網(wǎng)口獲取流量包。開啟深度包解析，會(huì)解析流量包的協(xié)議、不同類型包（udp、tcp、vlan、ethernet等）的大小、數(shù)量。點(diǎn)擊深度包解析“詳情”按鈕可以查看，使用BPF過濾規(guī)則，可以確定該獲取和檢查哪些流量，忽略哪些流量，如果任務(wù)因?yàn)椴东@不到對(duì)應(yīng)數(shù)據(jù)而超時(shí)，頁(yè)面會(huì)顯示任務(wù)超時(shí)，目前超時(shí)時(shí)間為55分鐘，成功生成的流量包可以點(diǎn)擊“下載”按鈕進(jìn)行下載，點(diǎn)擊“加入回放列表”加入回放列表。如圖3-85所示。圖3-85流量包回放分析是對(duì)離線流量包進(jìn)行回放，可以選擇PCAP、cap、PCAPng格式的流量包進(jìn)行上傳，在下方流量包列表里顯示上傳成功的流量包，選取已經(jīng)傳好的流量包后點(diǎn)擊回放，進(jìn)行流量包回放，點(diǎn)擊查看結(jié)果可跳轉(zhuǎn)到事件追溯查看檢測(cè)結(jié)果。如圖3-86所示。圖3-86文件分析入口方式：離線分析>文件分析該頁(yè)面展示離線文件檢測(cè)與在線文件檢測(cè)兩個(gè)環(huán)節(jié)。離線文件檢測(cè)支持多種文件擴(kuò)展名，上傳后可直接查看沙箱引擎虛擬機(jī)狀態(tài)和全局文件檢測(cè)狀態(tài)，下方列表可展示已傳文件信息。人工提交的文件可設(shè)置優(yōu)先級(jí)（默認(rèn)優(yōu)先級(jí)為2），優(yōu)先級(jí)高的優(yōu)先檢測(cè)。檢測(cè)狀態(tài)可以實(shí)時(shí)更新檢測(cè)結(jié)果，不用手動(dòng)刷新頁(yè)面。如圖3-87所示。圖3-87在線文件檢測(cè)直接輸入在線文件地址提交后進(jìn)行分析，上傳文件限制為40M,人工提交的文件可設(shè)置優(yōu)先級(jí)（默認(rèn)優(yōu)先級(jí)為2），優(yōu)先級(jí)高的優(yōu)先檢測(cè)。如圖3-88所示。圖3-88系統(tǒng)管理系統(tǒng)狀態(tài)系統(tǒng)該模塊主要展示當(dāng)前設(shè)備（歷史）流量、（歷史）CPU使用率、（歷史）內(nèi)存使用率、（歷史）磁盤空間使用率等情況的統(tǒng)計(jì)。默認(rèn)展示歷史流量，點(diǎn)擊各個(gè)模塊的“查看”按鈕，頁(yè)面下方對(duì)應(yīng)變成歷史CPU使用率、歷史內(nèi)存使用率和歷史磁盤空間。如圖3-89所示。圖3-89虛擬機(jī)點(diǎn)擊左上角虛擬機(jī)選項(xiàng)卡，切換至虛擬機(jī)展示頁(yè)面，該頁(yè)面主要展示沙箱虛擬機(jī)個(gè)數(shù)、當(dāng)前檢測(cè)文件、運(yùn)行平臺(tái)以及虛擬機(jī)運(yùn)行狀態(tài)。運(yùn)行狀態(tài)在無文件進(jìn)行檢測(cè)時(shí)為“等待檢測(cè)”狀態(tài)，文件檢測(cè)時(shí)為“正在檢測(cè)”如圖3-90所示。圖3-90文件檢測(cè)展示所有的文件檢測(cè)匯總數(shù)量信息，包括流量中的還原文件以及手動(dòng)提交文件。已生成報(bào)告表示文件已經(jīng)完成整個(gè)分析和檢測(cè)并有對(duì)應(yīng)的文件報(bào)告。正在運(yùn)行表示在虛擬機(jī)中檢測(cè)。待檢測(cè)文件表示未進(jìn)入沙箱等待檢測(cè)的文件，在待檢測(cè)文件列表中進(jìn)行通過MD5與文件名查詢、批量刪除、全部刪除，刪除后的文件不進(jìn)入沙箱檢測(cè)。如圖3-91所示。圖3-91規(guī)則管理規(guī)則管理支持對(duì)行為檢測(cè)引擎的所有檢測(cè)規(guī)則進(jìn)行啟動(dòng)和關(guān)閉，默認(rèn)全部規(guī)則為開啟狀態(tài)。通過RID、威脅名稱、威脅類別的全局搜索，左列顯示規(guī)則威脅類別，點(diǎn)擊對(duì)應(yīng)的類別名稱展示被選擇的威脅類別的所有威脅規(guī)則，點(diǎn)擊左上方“全部威脅”按鈕可展示所有的威脅類型。右列顯示引擎規(guī)則的威脅類別、威脅名稱、攻擊鏈階段、規(guī)則說明、描述、威脅等級(jí)和狀態(tài)。支持通過規(guī)則狀態(tài)篩選，點(diǎn)擊狀態(tài)右邊“全部”可選擇狀態(tài)為“開啟”或“關(guān)閉”。更新引擎規(guī)則后，2分鐘內(nèi)配置生效。如圖3-92所示。圖3-92策略管理協(xié)議解析策略系統(tǒng)默認(rèn)不存儲(chǔ)元數(shù)據(jù)，元數(shù)據(jù)設(shè)置可配置傳輸層元數(shù)據(jù)、HTTP元數(shù)據(jù)、DNS元數(shù)據(jù)、FTP元數(shù)據(jù)、SMB元數(shù)據(jù)、SSL元數(shù)據(jù)、郵件元數(shù)據(jù)、數(shù)據(jù)庫(kù)協(xié)議元數(shù)據(jù)、傳輸層協(xié)議元數(shù)據(jù)以及其他元數(shù)據(jù)協(xié)議存儲(chǔ)的開啟與關(guān)閉。在溯源取證的檢索索引可查看對(duì)應(yīng)元數(shù)據(jù)，開啟PCAP存儲(chǔ)可以保存非HTTP和非TLS的威脅相關(guān)PCAP。如圖3-93所示。圖3-93文件還原該模塊是對(duì)流量還原協(xié)議以及還原文件類型進(jìn)行設(shè)置，默認(rèn)所有協(xié)議均可被還原，點(diǎn)擊“更多類型”和“收起列表”展示全部類型和只展示常見類型，還原文件類型默認(rèn)只開啟文檔文件和可執(zhí)行文件OFFICE\PDF\PE，壓縮文件、腳本文件、多媒體文件、文本和APK等類型默認(rèn)關(guān)閉，可配置。點(diǎn)擊“全選”進(jìn)行全部開啟和全部關(guān)閉，設(shè)置完成后，需要點(diǎn)擊“保存”按鈕進(jìn)行配置，彈出修改成功表示生效。如圖3-94所示。圖3-94協(xié)議配置功能：加密解密流量用戶可以在這里啟用/關(guān)閉HTTPS協(xié)議解析。默認(rèn)不啟用HTTPS協(xié)議。啟動(dòng)協(xié)議后點(diǎn)擊“新增”可以添加HTTPS私鑰，填入IP和端口后上傳秘鑰即新增秘鑰。選中可以批量刪除對(duì)應(yīng)的私鑰。如圖3-95所示。圖3-95威脅展示模式威脅展示模式能夠指定展示事件的威脅等級(jí)、確信度、檢測(cè)引擎和威脅類型。提供兩種模式，日常運(yùn)營(yíng)和全面檢測(cè)，默認(rèn)開啟全面檢測(cè)。支持手動(dòng)添加。如圖3-96所示。圖3-96手動(dòng)添加時(shí)，需要填寫策略名稱，威脅等級(jí)、確信度、檢測(cè)引擎、威脅類型支持多選，點(diǎn)擊確定可以保存策略。圖3-97沙箱運(yùn)行模式沙箱運(yùn)行模式包括對(duì)沙箱檢測(cè)模式、運(yùn)行平臺(tái)、流量還原文件大小進(jìn)行配置，進(jìn)行配置修改會(huì)重啟沙箱引擎，建議修改完所有配置，統(tǒng)一保存。沙箱運(yùn)行模式支持兩種模式：線上模式（默認(rèn)，靜態(tài)檢測(cè)為非安全文件進(jìn)沙箱），沙箱模式（所有文件全進(jìn)沙箱）。勾選截圖功能，可保留文件在沙箱運(yùn)行過程中的截圖。還原文件大小設(shè)置只限制從流量中還原的文件，范圍0~20M，默認(rèn)范圍為“48KB~4MB”，無法自定義設(shè)置手動(dòng)上傳文件，限制范圍為0~40M。沙箱支持Windows沙箱、Android沙箱和Linux沙箱三種平臺(tái)檢測(cè)。可自定義配置平臺(tái)，但是至少保留一種沙箱類型平臺(tái)，否則無法配置。如圖3-98所示。圖3-98黑白名單信譽(yù)黑名單信譽(yù)黑名單模塊是支持添加類型為IP、域名、網(wǎng)址、md5的數(shù)據(jù)過濾策略。配置后，2分鐘內(nèi)配置生效，被添加為黑名單后，系統(tǒng)匹配檢測(cè)到即告警展示。模塊支持批量添加/刪除、啟用/禁用；支持從文件導(dǎo)入黑名單信息，點(diǎn)擊“導(dǎo)出模板”下載模板；記錄信息后，點(diǎn)擊“導(dǎo)入名單”從文件導(dǎo)入黑名單信息；也可以點(diǎn)擊“導(dǎo)出名單”將當(dāng)前黑名單內(nèi)容導(dǎo)出為文件。如圖3-99所示。圖3-99點(diǎn)擊添加按鈕打開添加黑名單對(duì)話框，編輯所有的信息后，點(diǎn)擊確定按鈕則名單規(guī)則會(huì)被添加至名單列表下。目標(biāo)指攻擊者或攻擊者控制的服務(wù)器、主機(jī)，在目標(biāo)編輯框支持換行輸入多個(gè)目標(biāo)，IP支持單個(gè)IP，CIDR和IP范圍（-00）,域名包括域名和子域名，網(wǎng)址格式為host[:port]/path/parameters。如圖3-100所示。圖3-100家族列表下有默認(rèn)家族，可在管理家族信息，支持添加和刪除家族信息。如圖3-101所示。圖3-101添加完成后在操作列可以對(duì)規(guī)則進(jìn)行開啟關(guān)閉以及刪除，更新規(guī)則后，2分鐘內(nèi)配置生效。威脅檢測(cè)白名單威脅檢測(cè)白名單模塊支持添加類型為源IP、目的IP、域名/URL、威脅類別、規(guī)則ID的過濾策略。配置后，2分鐘內(nèi)配置生效。支持批量添加/刪除、啟用/禁用。具體如圖3-102所示：圖3-102點(diǎn)擊“添加”可以新增威脅白名單，其中源IP、目的IP、域名/URL、威脅類別、規(guī)則ID至少填寫一項(xiàng)；其中域名/URL支持一次輸入多個(gè)，“威脅類別”下拉框支持多選/單選。文件白名單此模塊可設(shè)置進(jìn)入系統(tǒng)前的文件白名單，通過設(shè)置文件的MD5值來加入白名單，設(shè)置為白名單的文件不會(huì)進(jìn)入分析引擎從而降低系統(tǒng)壓力。具體如圖3-103所示：圖3-103頁(yè)面說明：通過選中對(duì)應(yīng)的MD5值，點(diǎn)擊“啟用”/“禁用”來使對(duì)應(yīng)的文件白名單生效/失效。點(diǎn)擊“刪除”刪除對(duì)應(yīng)的MD5值，點(diǎn)擊“添加”彈出窗口來添加MD5值，支持一次添加多個(gè)MD5值（需要按格式一行輸入一個(gè)MD5），具體如圖3-104所示：圖3-104流量過濾名單此模塊可設(shè)置進(jìn)入系統(tǒng)前的流量白名單，能夠自動(dòng)或手動(dòng)下發(fā)白名單流量阻斷測(cè)試，這部分流量不進(jìn)入網(wǎng)卡、盡早拋棄、不進(jìn)入分析引擎從而降低流量引擎的檢測(cè)壓力。默認(rèn)設(shè)置為本地沙箱網(wǎng)段IP和系統(tǒng)的本機(jī)IP。在過濾名單頁(yè)面可以編輯IP和直接下發(fā)IP過濾策略。過濾名單列表提供默認(rèn)、本機(jī)IP、白域名、大流量、單向流量、沙箱網(wǎng)段六種預(yù)定義白名單標(biāo)識(shí)。本機(jī)IP：檢測(cè)系統(tǒng)的訪問地址。白域名：Alex域名白名單。大流量：?jiǎn)蝹€(gè)會(huì)話負(fù)載長(zhǎng)度超過一定閾值的流量。單向流量：只有一個(gè)方向的流量數(shù)據(jù)。沙箱網(wǎng)段：檢測(cè)系統(tǒng)的沙箱虛擬機(jī)網(wǎng)段IP。默認(rèn)：手動(dòng)添加的過濾IP或網(wǎng)段。如圖3-105所示。圖3-105點(diǎn)擊“添加”按鈕，填寫IP或CIDR，換行添加多個(gè)IP。選擇單個(gè)和多個(gè)名單進(jìn)行刪除、開啟和關(guān)閉，修改完成需要點(diǎn)擊右上角的“”按鈕使其生效。如圖3-106所示。圖3-106網(wǎng)絡(luò)設(shè)置該模塊是對(duì)當(dāng)前設(shè)備的所有網(wǎng)絡(luò)口進(jìn)行管理和配置，包括流量鏡像口和網(wǎng)絡(luò)管理口。管理和配置權(quán)限只有初始化時(shí)定義的用戶才有，其他用戶只有查看的權(quán)限。流量口配置顯示各個(gè)網(wǎng)卡的接口名稱、網(wǎng)卡速率、接口狀態(tài)、是否監(jiān)聽。說明：開啟監(jiān)聽捕獲對(duì)應(yīng)流量口流量，否則無法捕獲。流量口必須至少有一個(gè)網(wǎng)口被監(jiān)聽，當(dāng)只有一個(gè)網(wǎng)口時(shí)，必須監(jiān)聽，無法禁用和取消監(jiān)聽。只有接口狀態(tài)正常才能監(jiān)聽流量，禁用網(wǎng)卡，接口狀態(tài)變?yōu)椤爱惓！?，無法開啟監(jiān)聽。即使不連接網(wǎng)線，也可禁用和啟用監(jiān)聽。如圖3-107所示。圖3-107只支持單個(gè)管理口配置，顯示當(dāng)前管理口基本信息，包括接口名稱、網(wǎng)卡速率、IP地址（IPV4/IPV6）、MAC地址。說明：點(diǎn)擊“配置IPV4”按鈕對(duì)