奇安信天眼--探针/分析平台部署及联动

三、天眼框架

监测中心

威胁感知

分析中心

响应处置

资产感知

报表感知

报表报告

系统管理

全局导航

监测中心

仪表台

主要应用誉告警统计图文版，包含威胁名称，网络攻击告急数量统计，威胁情报告警类型分布，威胁情报告警趋势，告警数量时序图，整体视图，外部攻击，外联攻击，告警环比，告警类型分布，告警威胁级别分布，告警趋势，告警类型数据统计，WEB攻击告警数量统计，告警攻击阶段统计，横向攻击告警数量统计，告警攻击阶段统计，外联攻击告警数量统计，等。

监测工作台

主要对告警类型进行统计和重点监测，包含失陷主机，外部攻击，横向攻击，越权访问，暴力破解，弱口令，挖矿专项，补天漏洞

态势感知

与高级版都是可视化的感知地球

态势感知高级版

威胁感知

告警列表

流量传感器

主要应用的是天眼日志的语法的检索

Dip被攻击的IP

Dport被攻击的端口

Sip源IP

Sport源端口

url请求的url地址

data请求包的正文内容

status响应包的状态码

client_os运算符号AND OR 或NO

全部告警

未处置告警 检索列如：status=”未处置” AND is_white=”否”

webshell管理 检索列如：threat_name LIKE “冰蝎” OR threat_name LIKE “蚁剑”

文件上传成功告警

文件上传企图告警

木马通信类告警

代码执行成功告警

文件威胁鉴定器

全部告警

恶意告警

邮件威胁检测系统

全部告急

恶意附件告警

钓鱼邮件告警

攻击诱捕系统

全部告警

高危告警

智慧管理分析系统SMAC

全部告警

服务器安全管理系统（云锁）

全部告警

webshell告警

命令执行告警

SQAR自动化编排场景

全部告警

全部

威胁视角

挖矿专项

当服务器或PC处于什么样的状态时，我们可以判定为被挖矿。通常来说，当我们的服务器或PC资源(CPU)使用率接近或超过100%，并持续高居不下导致服务器或PC操作延缓，我们就可以判定被挖矿。

挖矿的阶段

1恶意代码传输-2远控通信-3.链接矿池-4.登录矿池-5.获取挖矿任务-6.提交挖矿份额

威胁情报

威胁统计：【恶意软件】远控木马，【恶意软件】窃密木马，【恶意软件】黑市工具，【恶意软件】流氓推广

威胁级别分布：低危，中危，高危，危机

命中的威胁情报

应用安全

web安全

数据库安全

中间件安全

邮件安全

系统安全

暴力破解：暴力破解列表，源IP暴力破解列表，目的IP暴力破解列表

弱口令

未授权访问

设备安全

攻击者视角

资产视角

情报中心

情报管理

研判分析

分析中心

日志检索

快捷模式-本级-索引类型

高级模式-本级--索引类型

（原始告警日志---告警日志-webshell上传-网页漏洞利用-网络攻击-威胁情报告警）

（设备告警日志----流量传感器-文件威胁鉴定器-邮件威胁检测系统-攻击诱捕系统-云锁服务器安全管理系统）

专家模式-本级--索引类型

行为分析

DNS服务分析

可疑DNS解析-疑似DNS服务器发现-链路劫持分析-DNS重绑定分析

非常规服务分析

可疑代理-远程工具-反弹shell

邮件行为登录

邮件异常类型分布-邮件异常类型统计

登录行为分析

暴力破解-异常登录-特权账号登录-弱口令-明文密码泄露

WEB服务器行为分析

非常用请求方法-可疑爬虫或扫描-后门上传利用

数据库行为分析

数据库高危操作分布 受影响资产TOP10

访问行为分析

外部访问-横向访问-内部主机外联-风险端口访问-可疑来源

黑IP行为分析

告警统计图--告警趋势图

旁路阻断行为分析

阻断类型分布-旁路阻断趋势

全流量取证分析

约等于wireshark（支持wireshark查询规则过滤语法）

天眼狩猎

响应处置

处置编排

工作流程

华三防火墙处置流程（流程开始-多条件分析判断-

{创建安全策略--新增生效策略--流程结束

{查询生效策略-删除安全策略-删除生效策略-流程结束）

、

山石防火墙处置工作流（流程开始-多条件分支判断

{创建安全策略-新增生效策略-流程结束

{查询生效策略-删除安全策略-删除生效策略--流程结束）

奇安信上网行为管理处置工作流（流程开始-多条件分支判断-

{阻断—新增icg生效策略-流程结束

{阻断-新增icg生效策略-流程结束

{查询icg生效策略-取消下发的命令-删除icg生效策略—流程结束

）

天擎v101处置流程(流程开始-多条件分支判断

{终端隔离

{取消终端隔离

{全盘扫描

)

联动服务

主要是用于第三方软件的服务例如：AbuseIPDB ,Box管理，奇安信新一代智慧防火墙等

任务脚本

主要用于添加动作，例如多条件分支判断等

帮助文档

策略管理

策略定义

新增策略定义

策略名称 处置动作（和上面的工作流程有关） 联动设备

策略联动

包含联动策略名称和自定义检索场景

处置记录

联动记录

资产感知

资产管理

主要进行的是对公司资产归纳收集，可以设置资产组等

资产发现

对现有资产进行收集

资产互访

业务访问态势 业务互访次数TOP10

IP地址管理

新增IP地址

脆弱性

威胁级别分布 漏洞资产风险值TOP10

配置核查

配置类型分布 配置核查资产TOP10

补天漏洞

主要用于漏洞情报和资产漏洞

报表系统

快速报表

可以新增报表设置首次执行事件和报表数据范围和报表格式，报表模板等

周期报表

报表类型：告警统计，受害资产统计，系统维护，攻击者统计，日志统计，自定义统计

任务周期：日报，周报，月报，季报，年报

任务状态：未启动，成功，失败，执行中

报表模板

报表类型：告警统计，受害资产统计，系统维护，攻击者统计，日志统计，自定义统计

来源：预定义，自定义

模板名称、创建

系统管理

自定义规则配置

规则ID 规则名称 CNNVD编号 CVE编号 告警类型 威胁等级 攻击结果 攻击链 设备 启用状态 下发状态 创建时间 更新时间 操作

新增自定义规则有

规则名称 威胁级别 告警类型 攻击结果 攻击链

包含基础配置和规则

基础配置：

CVE编号

CNNVD编号

漏洞描述

漏洞危害

解决方案

规则：

新增检测项：

检测位置 检测字段 匹配 值