信号¶
当安全检测规则启用并有效检测到异常情况,会生成相应的事件记录。信号为您提供一个集中处理的入口,方便您在后续的实际场景中进行具体的分析和响应操作。
“信号”可以由多种数据源产生,例如:
-
防火墙检测到一条来自已知恶意IP的访问尝试
-
终端检测与响应软件发现一个进程在尝试修改系统关键文件
-
云平台审计日志记录了一个用户在非工作时间进行了高权限操作
-
身份认证系统发现多次失败的登录尝试
-
......
某一类信号可能并不构成威胁,但在查看器,多个相关的信号被关联分析后,可能就会敲响警钟。
数据展示¶
信号查看器基于列表和图表的形式,提供多种专业分析视图。
展示近两天内采集的当前工作空间内的异常数据。
以排行榜、时序图、饼图、矩形树图和分组表格图的图表形式,基于 count、last、first、count_distinct 运算模式,在 by 条件下筛选数据。
信号详情¶
在查看器点击特定数据,可侧滑出对应详情页。
您可查看该条数据的基础属性、扩展字段、异常记录、相关信号和关联视图。
异常记录¶
展示当前事件发生前后三天内具有相同 dimension_tags 的 SIEM 事件数据。
注意
若不存在相同 dimension_tags 的数据记录时,系统将展示相同 df_monitor_checker_id 的事件数据。