天眼使用指南--分析平台

2023-11-20

#天眼分析平台

提供全面的溯源分析能力，涵盖图中模块。负责存储日志，分为三类，告警日志

告警日志：来自探针和沙箱的告警，探针的告警可以记录双向完整对话，如果网络流量中没有恶意信息，就会储存一些关键信息，如http请求部分状态码，tcp上下前一百字节，包的大小等等；记录下来形成网络日志存储，存到日志平台里面。

天眼还存储终端日志，终端日志记录了mac地址，dns信息，进程端口信息，

分析平台和传感器的区别，分析平台的存储空间比传感器大得多。

#检测中心一些功能

有个八个维度，自己去选择展示就可以了。。

#检测中心

看和那些设备进行联动了，可以去查看

#检测中心-工作台

这个跟着他可以自定义配置重点检测，一些常见的高危漏洞都可以自己去配置，还有一些其他的服务，dns服务分析，行为分析，等等一系列。资产感知可以配置一些资产管理，发现，配置一些证书和设备监控

#检测中心-态势感知

使用2k。4k分辨率吧，推荐用谷歌浏览器。

#检测中心-态势感知高级版

这个支持下钻的，安装态势胶囊就行了，就可以下钻到更详细的对方，展示的都差不多，更方便高清一些。

#分析平台-威胁感知

流量传感器，威胁文件鉴定器，日志等等所以告警都汇聚到这里来进行一个展示。

#威胁感知-检索

可以查看历史检索，还有高级检索自定义搜查等等

当我们发现有一些告警时，发现可疑行为，我们会去看他的流量，日志，看他是否有动作，就来到分析中心来检索他的日志，分为告警日志，网络日志，终端日志

告警日志分为，威胁告警，webshell上传，网页漏洞利用，网络攻击，威胁情报告警，杀向警告告警等等。有九种。

网络日志：传感器的协议解析日志，细分为tcp流量，udp流量，域名解析，文件传输等十五种

终端日志：天擎中端产生的，细分为u盘，文件传输，邮件附件传输，im文件传输，一共五类。

分析中心分两个部分，资产分组展示和日志内容展示部分。

图中就类似左边是配置项，右边是日志展示，点击可以详细。

#分析中心-行为分析

分为七大模块，每个模块都有自己的对应场景，根据多种类型，检测用户的不正常行为，dns服务分析，根据名字就能判断出来，可能包括dns解析，dns服务发现，链路劫持等等；

重点弱口令对一些密码的明文泄露，各种ssh，特权账号登录进行展示；

全包区中分析：根据用户查询条件，或者告警中提取线索，从区中分析提取皮卡包，解析，去看相应的趋势图和协议树等等

天眼狩猎：以用户提供的线索，进行一个全库的查询，输出线索相关数据，包括暴力破解，失陷主机，访问关系等一系列线索。

#发现中心-相应处理

包括，处置编排，策略管理，处置记录，联动记录。

处置编排：提供系统的内置任务脚本，联动服务，工作流程，支持用户自定义

策略管理：策略定义，策略联动。策略定义就是一个处置策略，需要引用用户的自定义工作流程，怎么去处理这个事件，可以去看看旁边左边预制的工作流程。

处置记录：对告警处置之后，在这里会产生一个工作运行记录，点击可以详细。

#分析中心-资产感知

包括了资产，脆弱性，配置检查，补天漏洞，

资产：资产管理，发现，，互访，每个模块都是对资产不同的维度进行展示；客户录入资产之后，绑定名称，之后产生告警，可以快速定位那些资产区产生告警。

脆弱：漏洞的知识库管理，客户导入本地漏洞库之后可以进行一个管理，二可以查看资产漏洞的信息。

配置核查：行为分析里面三种与资产相关的配置信息，包含弱口令。明文。密码泄露。风险带你看暴露，根据同一个资产统计出三种配置类型综合展示。

补天漏洞：配合补天平台。

#分析中心-报告报表

包括快速报表，周期报表，报表模板

快速报表：就是对导出的信息一个快速的报表，我们可以自己新建去选择类型统计，进行导出

周期报表：选择周期性或立即生成天眼的安全感知报告，里面都有统计，定期模板类型的报表

报表模板，自定义一个模板，关注的信息

# 分析中心-更多

包括，安全服务，扩展程序，第三方日志

安全服务：提供告警，数据到此处，报表下载功能

扩展程序：添加插件

第三方日志：其他的平台进行一个手机，存储到分析平台的es当中，第三方等等。

#分析中心-重保

自定义黑ip离线导入，提前找好离线的黑ip，进行导入就ok。

重保演习主要为了护网事件所设定，用户可以自定义护网任务，根据用户所选择的资产组进行重点关注。护网任务一共包含三个阶段:备战阶段、实战阶段、战后任务列表。
[自定义黑 IP] 可通过本地录入和离线导入两种方式导入黑 IP。其中本地录入支持手动添加黑 IP 和从本地批量上传黑 IP 两种方式离线导入方式数据导出和离线导入两种模作。若未安装或激活黑 P 插件，点击[导出统计数据] 按钒，则会跳转至扩展程序配置页面:若已安装并激活黑 IP 插件，点击[导出统计数据] 按钮，则跳转至 [扩展程序] ->[告警分析]页面

导入这些ip就会对这些ip产生告警，并展示出来。

分析平台也有全区导航。

#分析平台-系统管理

包含了基础配置，联动管理，审计管理，规则管理，设备管理。

系统升级，威胁区别升级，漏洞情报导入，自行导入。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

奇安信应急响应

网络