和威胁告警差不多。
ngsoc是以资产为核心,以安全事件为管理的关键流程,建立一套威胁检测,相应,预测,和持续监控分析,一体化的监控与相应平台。
和天眼的区别:会把天眼的告警,其他安全设备的告警,或者其他公司的设备;会把很多的设备的所有告警,没有告警就在ngsoc上建模去产生告警。把这些设备进行一个统一的告警管控。而天眼就只能看自己的流量。
威胁检测
和天眼差不多,左边是筛选器,现在这个界面是普通检索状态。切换为高级检索
我们可以导入插件,或者自己配置规则。
只支持三十天以内的。
ngsoc有一个特别重要的功能,可视化分析,带你一下会直接跳转到统计报表。
通过为度和对比计数值,去统计一些最产生特别多的一些告警,可以在这里做。比如可以唯独设置,选择告警名称,选择保存,对他进行一个计数,
上面各种图形表,就可以看到那种攻击类型比较多,还可以配置其他的,还有统计攻击ip,。
ngsoc也需要和其他平台进行一个联动,ngsoc和soc进行一个联动。
详情里面的内容
也支持解码。
这里看不是很全就点击切换格式 然后点击这个详情
这个字段就很全了。
分析告警之前先去看他产生的规则,点开他的字段详细,ngsoc接了很多种设备,可能很多;所以告警会很复杂,先要分析他从那个设备过来。
比如上图天体网络探针就可能是天眼,如果是从waf过来的告警,就需要看告警有没有必要处理,有可能waf本身就自动做了封禁,或防火墙告警,就已经阻断好了。还有入侵防御软件也会进行阻断。
通过这个告警我们可以去看近期有没有发送同样类型的告警, 还有处置记录,看处置吗。
就可以变更他的状态
扩展分析
会和你看,攻击ip和源ip最近做了哪些事情,
相关告警
这些都是意义一样的告警。
筛选设备
高级模式用的比较多
就可以添加条件,因为ngsoc接了很多的设备,我们就可以把web攻击流量和主机监控区分出来;把主机监控的数据ip那些数据ip做一个分类,
这里就是假如具体的ip是1.1.1.1,这个条件就只看椒图的,之后我们就可以进行一个搜素,然后另存为,给他一个名称椒图主机监控。
就会存到这个里面,下次点击就会自动搜索。
#重点还有分析中心的日志检索
分为冷数据和热数据,日志检索对日志集中的检索分析的工具;通过日志定位,定位网络问题或其他问题,分为两种存储方式,冷数据和热数据。
热数据支持频繁访问,可以快速返回结果。30天以内的数据。存储与es当作,
冷知识支持低频访问,所有数据都在这里,需要慢慢查。
高级支持两种查询语法一种是sql一种(老师读的来森),ngsoc检索用快捷比较多
检索之前,选择好检索类型;然后输入框也是要选择
然后自己输入等于什么信息
高级索引,选择和类型之后,就可以在输入框输入东西
还可以进行模糊查询,不太会就可以去看他的介绍和语法之类的使用说明;
冷数据
可以弄一个搜索任务,还可以放到收藏夹里面下次快速的去搜索,然后还有一个历史记录。
监控岗的话还有工单
新建一个工单
责任人一定要选,就是要发的人。
还要说一下仪表盘
对实时的告警数据监控,