ngsoc使用指南

和威胁告警差不多。

ngsoc是以资产为核心,以安全事件为管理的关键流程,建立一套威胁检测,相应,预测,和持续监控分析,一体化的监控与相应平台。

和天眼的区别:会把天眼的告警,其他安全设备的告警,或者其他公司的设备;会把很多的设备的所有告警,没有告警就在ngsoc上建模去产生告警。把这些设备进行一个统一的告警管控。而天眼就只能看自己的流量。

威胁检测

 和天眼差不多,左边是筛选器,现在这个界面是普通检索状态。切换为高级检索

 我们可以导入插件,或者自己配置规则。

只支持三十天以内的。

ngsoc有一个特别重要的功能,可视化分析,带你一下会直接跳转到统计报表。

通过为度和对比计数值,去统计一些最产生特别多的一些告警,可以在这里做。比如可以唯独设置,选择告警名称,选择保存,对他进行一个计数,

上面各种图形表,就可以看到那种攻击类型比较多,还可以配置其他的,还有统计攻击ip,。

ngsoc也需要和其他平台进行一个联动,ngsoc和soc进行一个联动。

详情里面的内容

也支持解码。

这里看不是很全就点击切换格式 然后点击这个详情

 这个字段就很全了。

分析告警之前先去看他产生的规则,点开他的字段详细,ngsoc接了很多种设备,可能很多;所以告警会很复杂,先要分析他从那个设备过来。

比如上图天体网络探针就可能是天眼,如果是从waf过来的告警,就需要看告警有没有必要处理,有可能waf本身就自动做了封禁,或防火墙告警,就已经阻断好了。还有入侵防御软件也会进行阻断。

通过这个告警我们可以去看近期有没有发送同样类型的告警, 还有处置记录,看处置吗。

就可以变更他的状态

 扩展分析

 会和你看,攻击ip和源ip最近做了哪些事情,

相关告警

 这些都是意义一样的告警。

 筛选设备

高级模式用的比较多

 就可以添加条件,因为ngsoc接了很多的设备,我们就可以把web攻击流量和主机监控区分出来;把主机监控的数据ip那些数据ip做一个分类,

 这里就是假如具体的ip是1.1.1.1,这个条件就只看椒图的,之后我们就可以进行一个搜素,然后另存为,给他一个名称椒图主机监控。

 

 就会存到这个里面,下次点击就会自动搜索。

#重点还有分析中心的日志检索

 分为冷数据和热数据,日志检索对日志集中的检索分析的工具;通过日志定位,定位网络问题或其他问题,分为两种存储方式,冷数据和热数据。

热数据支持频繁访问,可以快速返回结果。30天以内的数据。存储与es当作,

冷知识支持低频访问,所有数据都在这里,需要慢慢查。

高级支持两种查询语法一种是sql一种(老师读的来森),ngsoc检索用快捷比较多

检索之前,选择好检索类型;然后输入框也是要选择

 然后自己输入等于什么信息

高级索引,选择和类型之后,就可以在输入框输入东西

 还可以进行模糊查询,不太会就可以去看他的介绍和语法之类的使用说明;

冷数据

可以弄一个搜索任务,还可以放到收藏夹里面下次快速的去搜索,然后还有一个历史记录。

监控岗的话还有工单 

 新建一个工单 

 责任人一定要选,就是要发的人。

还要说一下仪表盘

 

 对实时的告警数据监控,

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/1715.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

MFC扩展库BCGControlBar Pro v33.5新版亮点 - 其他增强功能

BCGControlBar库拥有500多个经过全面设计、测试和充分记录的MFC扩展类。 我们的组件可以轻松地集成到您的应用程序中,并为您节省数百个开发和调试时间。 BCGControlBar专业版 v33.5已正式发布了,此版本包含了Ribbon(功能区)自定义…

Ansible自动化运维工具的认识

目录 一、Ansible概述 二、Ansible特点 三、Ansible应用 1、使用者 2、Ansible工具集合 3、作用对象 四、Ansible的搭建 1、实验环境 2、环境准备 Ansible: 3、创建ssh免密交互登录 client端环境准备 五、Ansible配置 六、Ansible命令 1、ansible 实…

【软件测试】web测试bug定位思路总结,“我“不再背锅...

目录:导读 前言一、Python编程入门到精通二、接口自动化项目实战三、Web自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结(尾部小惊喜) 前言 需要掌握的知识 …

ASUS华硕ROG幻14 2021款GA401QM原厂Win10系统工厂模式带ASUS Recovery恢复功能

自带恢复分区、所有驱动、出厂主题壁纸LOGO、Office办公软件、奥创控制中心等预装程序 所需要工具:16G或以上的U盘(非必需) 文件格式:HDI,SWP,OFS,EDN,KIT,TLK多个底包 文件大小:11.34GB 注:恢复时会清空电脑上所有盘的数据&…

系列七、VMware中的CentOS服务不息屏

一、场景 VMware中安装好CentOS7等虚拟机后,过一段时间会自动息屏,这个时候如果想执行操作,需要重新输入 用户名/密码,体验感不好。 二、解决方法 应用程序》系统工具》设置》Privacy》锁屏》自动锁屏(关闭&#xff0…

SpringBoot 统一功能的处理

SpringBoot 统一功能的处理 文章目录 SpringBoot 统一功能的处理1. 用户登录权限校验1.1 最初用户登录验证1.2 Spring AOP 统一用户登录验证的问题1.3 SpringAOP 拦截器1.3.1 实现自定义拦截器1.3.2 将自定义拦截器加入到系统配置 1.4 拦截器实现原理1.4.1 实现流程图1.4.2 实现…

Java 串口通讯 Demo

为什么写这篇文章 之前职业生涯中遇到的都是通过tcp协议与其他设备进行通讯,而这个是通过串口与其他设备进行通讯,意识到这里是承重板的连接,但实际上比如拉力、压力等模拟信号转换成数字信号的设备应该是有相当一大部分是通过这种方式通讯的…

Redis数据结构 — List

目录 链表结构设计 ​编辑链表节点结构设计 链表的优势与缺陷 Redis 的 List 对象的底层实现之一就是链表。C 语言本身没有链表这个数据结构的,所以 Redis 自己设计了一个链表数据结构。 链表结构设计 typedef struct list {//链表头节点listNode *head;//链表…

软件测试人员的基本功包括哪些?

什么是基本功?百度到的结果是:从事某种工作所必需的基本的知识和技能。 推理1:“基本”二字,意味着基本功必定是来源测试工作的基本流程。 推理2:“必须”二字,就意味者无论你是高级的测试开发,…

spring.profiles的使用详解

本文来说下spring.profiles.active和spring.profiles.include的使用与区别 文章目录 业务场景spring.profiles.active属性启动时指定 spring.profiles.include属性配置方法配置位置配置区别 用示例来使用和区分测试一测试二测试三 编写程序查看激活的yml文件本文小结 业务场景 …

TypeScript 学习笔记 环境安装-类型注解-语法细节-类-接口-泛型

文章目录 TypeScript 学习笔记概述TypeScript 开发环境搭建 类型注解类型推断 数据类型JS的7个原始类型Array数组object、Object 和 {}可选属性 ? 和 可选链运算符?. function函数TS类型: any类型 | unknow类型TS类型: void类型TS类型:never类型 (几乎…

noSQL的小练习

目录 Redis: 1、 string类型数据的命令操作: 2、 list类型数据的命令操作: 3、 hash类型数据的命令操作: MongoDB: 1. 创建一个数据库 名字grade 2. 数据库中创建一个集合名字 class 3. 集合中插入若…

C++基础算法二分篇

📟作者主页:慢热的陕西人 🌴专栏链接:C算法 📣欢迎各位大佬👍点赞🔥关注🚓收藏,🍉留言 主要讲解二分算法,分别讲解了整数二分和浮点二分 文章目录…

MobPush:Android SDK 集成指南

开发工具:Android Studio 集成方式:Gradle在线集成 安卓版本支持:minSdkVersion 19 集成准备 注册账号 使用PushSDK之前,需要先在MobTech官网注册开发者账号,并获取MobTech提供的AppKey和AppSecret,详情可…

elasticsearch基本操作

elasticsearch 下面参数详细解释 java 搜索查询看官方文档 https://www.elastic.co/guide/en/elasticsearch/client/java-api-client/8.8/connecting.html#_your_first_request{"name" : "Tom Foster","cluster_name" : "elasticsearch&q…

vue3+vite+ts+vant 开发浙里办H5应用流程和注意事项

vue3vitets 开发浙里办H5应用流程和注意事项 最近有个项目是要开发到浙里办的一个H5项目,记录一些问题; 浙里办irs系统内node版本和npm版本如下建议切到他们的版本再进行开发这样问题少一点 1.因为浙里办有自己的irs系统 需要吧前端整体的代码传上去 除了 打包后的dist 和 no…

【Win10系统下载Python3】

Python3官网:https://www.python.org/downloads/windows/ 注

TCP/IP网络编程 第十二章:I/O复用

基于I/O复用的服务器端 多进程服务器端的缺点和解决方法 为了构建并发服务器,只要有客户端连接请求就会创建新进程。这的确是实际操作中采用的种方案,但并非十全十美,因为创建进程时需要付出极大代价。这需要大量的运算和内存空间&#xff…

Unity Arduino 串口通信

一、Unity端发送消息&#xff0c;Arduino端接收消息 通过串口通信 Arduino端 #include <Arduino.h>#define PIN_KEY 5 uint item;void setup() {item 0;Serial.begin(115200);pinMode(PIN_KEY, OUTPUT); }void loop() {if(Serial.available()>0){item Serial.rea…

同比环比数据可视化

引言 数据分析和可视化在现代商业环境中变得越来越重要。随着数据的迅速增长&#xff0c;我们需要有效的工具来解释和理解这些数据。 数据可视化提供了一种直观的方式&#xff0c;帮助我们从海量数据中提取有意义的见解&#xff0c;以支持业务决策。 同比环比图作为一种常见的…