廣州市XXxxxxxxx門禁系統(tǒng)平臺

用戶手冊

廣東XXX技術(shù)股份有限公司

年月日

版權(quán)聲明

廣東XXX技術(shù)股份有限公司版權(quán)所有，并保留對本手冊及本聲明的最終解釋

權(quán)和修改權(quán)。

本文檔是廣州XXXXXXXXX門禁系統(tǒng)平臺用戶手冊,本文檔中出現(xiàn)的任何文字敘

述、文檔格式、插圖、照片、方法、過程等內(nèi)容除另有特別注明外，其著作權(quán)或

其他相關(guān)權(quán)利均屬于廣東奧迪安監(jiān)控技術(shù)股份有限公司。未經(jīng)廣東奧迪安監(jiān)控技

術(shù)股份有限公司書面同意，任何人不得以任何方式或形式對本手冊內(nèi)的任何部分

進行復制、摘錄、備份、修改、傳播、翻譯成其它語言、將其全部或部分用于商

業(yè)用途。本文檔中的信息歸廣東奧迪安監(jiān)控技術(shù)股份有限公司所有并受著作權(quán)法

保護。

免責聲明

本手冊依據(jù)現(xiàn)有信息制作，其內(nèi)容如有更改，恕不另行通知。若因使用或不能

使用本產(chǎn)品而產(chǎn)生的任何損害（包括間接個人損害、商業(yè)利潤損失、營業(yè)中斷、

商業(yè)信息遺失或其它任何金錢上的損失），本公司不負任何損害賠償責任。

信息更新

本文檔及其相關(guān)計算機軟件程序僅用于為最終用戶提供信息,并且隨時可由

廣東XXX技術(shù)股份有限公司更改或撤回。

出版時間

本文檔于年月由廣東XXX技術(shù)股份有限公司編寫。

1系統(tǒng)概述

1.1產(chǎn)品介紹

ADASBT平臺（簡稱SBT平臺）能夠?qū)崟r采集企業(yè)和組織中各種不同廠商的安全設備、網(wǎng)

絡設備、主機、操作系統(tǒng)以及各種應用系統(tǒng)產(chǎn)生的日志、事件、告警等信息，并將數(shù)據(jù)信息

進行集中存儲、統(tǒng)一管理。

SBT平臺采用大數(shù)據(jù)分布式存儲和計算架構(gòu)，通過采集企業(yè)內(nèi)部基礎數(shù)據(jù)（含核心應用），

利用數(shù)據(jù)建模、行為識別、關(guān)聯(lián)分析、機器學習等技術(shù)，提供全量日志極速檢索和大數(shù)據(jù)日

志分析功能，實現(xiàn)對已知/未知安全威脅事件的感知及告警響應，實現(xiàn)企業(yè)信息化數(shù)據(jù)的集

中存儲、隨想隨查、關(guān)聯(lián)分析、可視化展現(xiàn)等功能。

SBT平臺可廣泛應用于包括IT運維管理、智能運維、安全分析、業(yè)務服務管理、用戶

行為、精準營銷等領(lǐng)域，有效提升企業(yè)競爭力。SBT平臺可替代日志管理和SIEM系統(tǒng)，或

作為已有SOC的合理補充。它適用于金融行業(yè)、運營蔻、制造業(yè)等一些大中型企業(yè)。

1.2WEB系統(tǒng)登錄

在瀏覽器地址欄輸入：htlp:〃:9000/index/home即可訪問系統(tǒng)。

■SystexBeaconTowero也臺

系統(tǒng)內(nèi)置系統(tǒng)管理員角色，默認登錄用戶名admin,密碼由實施人員提供，登錄后請先

修改密碼。系統(tǒng)管理員角色具備系統(tǒng)配置、用戶管理、權(quán)限管理、日志審計操作等權(quán)限。

輸入用戶名、密碼即可登錄，登錄后的首頁界面結(jié)構(gòu)如下：

高危事件為近24小時高危告警次數(shù)，高危資產(chǎn)為近24小時產(chǎn)生過高危告警的資產(chǎn)數(shù)量,

告警總數(shù)為近24小時總告警次數(shù)。

2.實時安全事件地域分布地圖

在地圖上呈現(xiàn)過去30分鐘有外網(wǎng)源IP或外網(wǎng)目標IP的告警事件。點擊地圖可進入‘地域

分析”頁面。如需詳細了解該圖表，請查看“地域分析”部分說明。

3.實時安全告警事件

列表顯示最新5筆告警事件，從上往下按時間倒序排列，每筆最新告警事件顯示在列表

第一行數(shù)據(jù)。

4.近七天各領(lǐng)域安全趨勢

圖表顯示前7天到昨天為止的各領(lǐng)域的安全趨勢。

5.近7天整體安全趨勢

圖表顯示前7天到昨天為止的整體安全評分，即8大領(lǐng)域安全評分的平均分。

列表顯示前7天到昨天為止的最低整體安全評分的TOP5,顯示對應日期及評分，按照

評分從低到高排序。

6.近7天告警數(shù)量趨勢

圖表顯示前7天到昨天為止的每日告警數(shù)量。

列表顯示前7天到昨天為止產(chǎn)生告警數(shù)量最多的任務名稱、次數(shù)以及占比。

7.近7天資產(chǎn)告警趨勢

圖表顯示前7天到昨天為止的每日產(chǎn)生告警的資產(chǎn)數(shù)量

列表顯示前7天到昨天為止評分最低的資產(chǎn)TOP5,顯示資產(chǎn)名稱及對應評分。資產(chǎn)評

分算法同8大領(lǐng)域評分算法：總分為100分，發(fā)生告警事件則扣分，其中每個高危告警扣5

分，每個中危告警扣1分，每個低危告警扣0.5分。

8.近7天告警類型數(shù)據(jù)分布

圖表顯示前7天到昨天為止高、中、低等級的告警事件的數(shù)量占比分布，高/中/低告警

數(shù)量占比二高/中〃氐告警數(shù)量/告警總數(shù)量。

3數(shù)據(jù)搜索

數(shù)據(jù)搜索功能采取google式搜索方式，所有類型的三志均可在一個搜索界面上進行搜

索，支持全文檢索、字段匹配、模糊查詢、正則表達式等搜索語法，僅需幾秒鐘就能從海量

數(shù)據(jù)中搜索出于"關(guān)鍵字’相關(guān)的日志信息。

數(shù)據(jù)搜索分為常規(guī)搜索、高級搜索。其中高級搜索支持通過SQL語句進行可編程的日志

分析統(tǒng)計。

3.1常規(guī)搜索

點擊"數(shù)據(jù)搜索“進入數(shù)據(jù)搜索的常規(guī)搜索頁面（見下圖），可對接入SBT平臺的原始

日志數(shù)據(jù)進行檢索。

SYSTEXQnm

Qnm

8森武力送拷

B日

刈，…——W，

曰志類型選擇默認顯示所有分類，一級菜單為8大類，二級菜單為各大類下的日志類型

（顯示Index中文名）。下拉菜單中僅包含用戶有權(quán)限訪問的日志類型，即時用戶選擇“所

有分類11,搜索結(jié)果也僅顯示用戶有權(quán)限訪問的日志數(shù)據(jù)。

時間控件默認顯示近4天，點擊時間控件可按需選擇或自行編輯時間范圍。

搜索輸入框的具體使用說明可點擊輸入框右側(cè)的“？”圖標進入使用幫助頁面（見下圖）。

a/0梅建中陽澄陽

下列的邏8旗作將旨在連接多個搜索條件（NOTM講），都用作多個搜索條件的關(guān)聯(lián),運算符兩邊的條件可以有三種3

zk.vwwma喻

3.SU些

選用不同的投裝條件和蹈闡I符實現(xiàn)靈活的搜索力能

關(guān)”S案

■W入入1?盤長的關(guān)■字巴曲本的大文分期爾義■舊分局,所以切詞回藤中文（單主3字）皿喇.忙累舄1?四或11?用下曲為$言之

AND

WsM.支持VMM的連按左右砌的裳勺必陽向時溫足才會腕幽.交聆只■字=加$K?v咖關(guān)EQiCV?WMM?a，?含.

OR

—重?如莪Nfi的連*左右而加情畫只”任■一方融昆m金??財,班天.字OR*?t,sK.vw$K-v???rrwKV

NOT

TO3EM..SMMMWWF5MM日不才關(guān)SWT關(guān)./，“川WTSKzviM^moKV??KEa^m&e.

ANDNOT

ORNOT

支持條鐘的3

0

0ML稱號內(nèi)融?素季列遇例后制MWVJFHW同與X3I遂行=*運K

$

CVmiOMIEe>WT.?-V5JWn?UQE,.日.MMWR中酶ey

?

關(guān)閉

搜索按鈕：點擊觸發(fā)謖索操作，搜索結(jié)果滿足日志類型、時間范圍、搜索框輸入條件及

用戶權(quán)限的限制。

Ml7/03.190000-2017/0W)O&CObott-%0$Q7t

RI-H?,R1.W1?”的15CW)

O刈，④皿由上處XWWQ—由QQN0E2,即加2乜”如一-—廿RN

(^tmesUmp2017-03-22135721530

.version1

|—|

message?0411MX^7-OJ-Z21)X07437(INFO|mcnrout^rr?*72.2O17032^.1i$aO6.4(U27*n^mtKiAtfoQry5M?n?rm*r\?rvaMrtionacctnetm?t4/9(?P<?nrUI

2017/01"0000-2O17/Ol/?3OOCO

@2017032213572353096041134"""工"1158^7437PNFOjmonroutotr?H72.20170i22_13S805.40!27?mgmt^GflnfoQfySMmamwtvwIdef3notT"Ar^t妁mA

Ind^v:eMnk|Type1PMH無

9604113420170122115S;18W2nNfO]monroue^fWO2017032213s51757(78*maml^GAnfoQfy96Sm?m?tfv?r??SdMm?cctnc€mttAra!”土霍玲2

O2017-03-22135435412

IndeveMnkTypeI091P必無

公…….一960CJ342O17sMJJ734582M5】2Z?o*R42刈70322m733aMOMgEtPENoQfy”-gvtrMaUxancdi”程

@20vs-221M?1.iaPJ.

%0411y2017-03-2211:3^59522(INFO)monr<MC?rr?*1920170122HJW29MUmQEXfUfoQfy494n?ms?<verI-“anccsstJM3?廣多善CM

。2017?和2211的1”7H

查看日志包括原始日志、解析日志兩種方式。搜索結(jié)果默認顯示原始日志（見下圖），

顯示日志時間以及源日志消息，源日志消息包含message信息及對應的index、type和path

值。點擊“展開”按鈕可顯示該行日志的解析字段。

其中，通過filebeat接入的日志數(shù)據(jù)可顯示該日志前后50筆日志數(shù)據(jù)記錄。點擊“事件

上下文按鈕“，則在新頁面打開數(shù)據(jù)搜索頁面，并自動填入搜索條件，日志類型選擇為“所

有分類”，時間控件中顯示的時間即為搜索結(jié)果所包含的時間范圍，搜索輸入框即為實際搜

索的條件；搜索結(jié)果自動定位到上一頁面的跳轉(zhuǎn)事件上，并突出顯示該事件；搜索結(jié)果為事

件的上下文，即為該事件在接入之前所在源文件中的前君50筆日志記錄；若前后記錄不足

50筆，則按實際的數(shù)量展示。

“BS

點擊“解析日志”將切換至解析日志頁面（見下圖i。

點擊“顯示/隱藏字段”圖標彈出選擇顯示/隱藏字段窗口，點擊字段即可選中顯示為藍

色，再次點擊取消選中。藍色選中字段均為在頁面中可顯示的字段。

點擊“下載”按鈕，可選擇搜索結(jié)果導出的范圍，點擊”確定“后直接將搜索結(jié)果以csv

格式導出至本地。

3.2高級搜索

點擊常規(guī)搜索頁面右上角“高級搜索“按鈕，進入高級搜索頁面。

在高級搜索頁面，可實現(xiàn)在搜索框中直接使用SQL語句進行搜索和簡單的統(tǒng)計，如時

間、類型、嚴重等級、IP、日志源等多維度日志的統(tǒng)計分析C

Q數(shù)據(jù)搜索

2017/03/19OOXX)■2017/03/2300:00

:SELECTCOUHT(?)FBJOMdl>2*

2GROUPBYhost

|授孝結(jié)果：1條，搜幸耗的3ms

hostCOUNTO

8124.0

2000/01/0100:00-2017/03/2300:00

1SELECTCOURTS)FR￡MJG*

2GROUPBY.type

|按委皚軍3條,搏手耗打：4m5

T

_typeCOUNT(")

核心主機異室時間登錄3118.0

內(nèi)網(wǎng)主機掃題21.0

核心主機密碼臬力破茶3.0

點擊右上角"使用幫助"可查看高級搜索使用說明。

Q惠級搜案使用說明

本痍*功腳到請法USQL調(diào)法第仙，鼻驚使用方法《1下:

基破搜索：

SELECT字SS1,字段Z字段3FROMindexS?WHERE條件

例:SELECT?FROMwinjcpbeafWHEREtype^'system9ANDmessagelike

字段：字購tUWS為字(如：type.typ*,?pe、*pyF),tfi可用indude/exclude(如：indudeCpe，exdudeC*ype，),indudefty^^,exdudeCtype'))

includef?pe'):字監(jiān)以pe結(jié)碑所有字段

exdude('>pn:排除字段名包含ypffi所有手段

includeftr,XexcluCenypel:除了type以外所有以ty?母的手段

條件:條件可以為第TW*,也可為多個條件的怛合,常用的關(guān)鍵字如下：AND/OR:用于連線2個或多個條件

AND/OR:用于連接2個或多個條杵

UKE:用于鎮(zhèn)索列中幀定模式，如：UKE>rror'.UKE%type%'.UKE?type''，在UKEiB句中，%KF均可作為通配符使用

IN:允許在條件清句中規(guī)定多個值

BETWEEN:BETWEEN.AND會選取介于兩個值之何的B3R范Bl,這些值可以JHSH1.文本或者日劇

GAft：

avgO:返叵/值列K平均值,NULL僮不包括在計翼中

countO：返回匹配猖定條件的行故

sum。:返回數(shù)值列的AW

maxO：返所列中砒I大9

minO：返回TW/Jvffl

groupby:用于儂合計的數(shù)，根據(jù)一個或多個列對恬戢集進行分館

______ORDERBY:根據(jù)指定的?網(wǎng)結(jié)果集進行排序，默認按Wi升》對記錄迸行捧序,如果您希9按照常序?qū)τ涗涍M行琲序，可以使用DESC關(guān)?字

關(guān)閉

點擊“顯示/隱藏字段”圖標彈出選擇顯示/隱藏字段窗口，點擊字段即可選中顯示為藍

色，再次點擊取消選中。藍色選中字段均為在頁面中可顯示的字段。

點擊“下載”按鈕，可選擇搜索結(jié)果導出的范圍，點擊”確定“后直接將搜索結(jié)果以csv

格式導出至本地。

4告警管理

針對安全事件的關(guān)聯(lián)分析，SBT可通過制定卡片和任務進行告警監(jiān)控，達到安全預警和

防御效果。并可以郵件等方式進行實時告警通知。

告警管理包括卡片管理和任務管理。

卡片管理主要設置各種告警規(guī)則，任何監(jiān)控告警規(guī)則均可以以卡片形式插入式導入，如

密碼暴力破解、異常時間登錄、內(nèi)網(wǎng)端口掃描等。

在任務管理頁面，使用已導入的卡片告警規(guī)則進行任務的配置，根據(jù)實際情況選擇告警

級別、告警類別、告警條件、告警模式、告警信息、告警觸發(fā)動作、數(shù)據(jù)源、關(guān)鍵字、排程

時間計劃等內(nèi)容的設置，滿足規(guī)則條件的事件生成告警并觸發(fā)動作。

4.1卡片管理

卡片管理主要設置各種告警規(guī)則，任何監(jiān)控告警規(guī)則均可以以卡片形式插入式導入，如

密碼暴力破解、異常時間登錄、內(nèi)網(wǎng)端口掃描等。

卡片類型分為實時和排程兩種。進入卡片管理頁面后，系統(tǒng)自動查詢所有卡片配置并顯

示當前卡片清單，可通過卡片搜索框過濾卡片相關(guān)的配置信息。

用戶可通過卡片管理模塊實現(xiàn)對卡片的新增、修改、刪除查詢功能。

MHKZZBMHI

點擊新增或修改按鈕,進入卡片配罟界面（見下圖）C如需配罟請聯(lián)系實施人員協(xié)助進

行。

卡片配國X

名稱：

福述：

主函數(shù)：

jar包■入:

xml■入：選取文件未選擇文件■

卡片類里：

運行內(nèi)存(G)：

堇■行為：

就肖

點擊刪除按鈕時，系統(tǒng)會判斷該卡片是否被任務所引用。如果卡片被引用，則彈窗提示

"該卡片被任務所引用,不能刪除”；卡片刪除時會連同上傳的jar包和XML文件一并刪除。

4.2任務管理

在任務管理頁面，使用已導入的卡片告警規(guī)則進行任務的配置，根據(jù)實際情況選擇告警

級別、告警類別、告警條，牛、告警模式、告警信息、告警觸發(fā)動作、數(shù)據(jù)源、關(guān)鍵字、排程

時間計劃等內(nèi)容的設置，滿足規(guī)則條件的事件生成告警并觸發(fā)動作。

進入任務管理頁面，系統(tǒng)自動查詢所有任務配置并顯示任務清單，可通過任務搜索框進

行條件過濾查詢。

Qir

E

I121QED

NV■071…，in*V皿AM》ZM??.Ml

.09inOA<aM>/M??

MIIVWI?09inU(GM)/*a??.Ml

.HinW(GM)z?a???RO

w.KMsawcm》zaa??.Ml

eMMiniMi.DVmOO(JUR)/?a??

otaae*.??/!????則SM》/?a??.Ml

?6SR/?a??.Ml

■BMAM)ZM??.Ml

■“A-LO<BM>?■

點擊新增或修改按鈕，進入任務設置頁面，如需配置請聯(lián)系實施人員協(xié)助進行。

5告警搜索/實時告警

告警是指系統(tǒng)根據(jù)自定義的任務管理里具體的規(guī)則條件與原始日志數(shù)據(jù)進行匹配對匹

配規(guī)則條件的事件生成告警，同時觸發(fā)告警響應動作。

5.1告警搜索

用戶進入告警搜索頁面，可對所有產(chǎn)生的告警進行查詢。可以根據(jù)告警時間、告警等級、

告警類別、告警名稱、源P、目標IP等進行查詢。輸入搜索條件后，點擊“搜索”按鈕，則會

顯示查詢結(jié)果的告警列表。

?it騫實學

Ql?91m1

MMftWMBMS

02言2*X??(IWX12W?1M11J*1B<I511

?warni2in

?SMUJt1H2XL2U

jnT-m^siH2iam

MKitnm?muJatrawam2p—w?i)

。：皿3

0Itt11214

C4U9oryMl

4MMMDMAT2M

?MV?j

告警類型默認選擇所有類型，類型對應于任務管理模塊里每個任務配置的告警標題。下

拉菜單僅包含已產(chǎn)生過告警的告警標題，未產(chǎn)生過告警的告警標題不會顯示。

時間控件默認顯示過去7天，點擊時間控件可按需選擇或自行編輯時間范圍。

告警列表包含的信息有：告警時間、告警級別、告警來源（任務名稱）、告警信息。告

警列表分頁顯示，默認按照告警發(fā)送時間倒序顯示。

點擊“展開”按鈕，可查看告警的詳細信息。

點擊“下載”按鈕，可選擇搜索結(jié)果導出的范圍，點擊”確定“后直接將搜索結(jié)果以csv

格式導出至本地C

5.2實時告警

實時告警頁面顯示近12個小時的告警數(shù)量分布情況以及最新20條告警詳情。

owmwi

M117UZ，Ao?>mr?

“dBW*HUo?*E4M0^^《bMwnMIJJM_ji9??4?*<kM9??Q.4"^F3<*.lN：11dXg.

l0?AiKK*w*.UArMilR?I*LHUU，?S*

ZAA^AvMJin^.9xfnnjM.wwt.actweMAAi.ar-LtJLLJjM.cpu.uaMQMaMaM.ran.MM^.OMatK.C^aFfJUMC.^lBX：IJOlaM.Mdt.*.

.nUM<e>W：1Xi?M_mdL廿.

”Himi?2v?n，ZMV

“d?s^/VMJo^attjparnmnaM.Wwt.Knon-fne&AMr-lVM1-UM_<pu.uMag?<M>M.?w>.MMgfOMJtt_C|W2UM?_?p?IN：1J9^aM_Mdi_t|O?s

其中，最新20條告警詳情不會自動刷新，如果您想看到最新的告警列表,請手動刷新當

前頁面。

6告警儀表板

6.1概覽

該頁面針對只接入數(shù)據(jù)不使用告警管理模塊即不配置規(guī)則告警的用戶使用。該頁面包含

今日日志概況、過去7日流量使用、主機概況、安全設備概況四個部分。

1.今日日志概況

今日日志概況

日志類型海看詳情

日志總量

286.15萬

linux-syslog■

接入設密數(shù)?windows-metricbeat

4linux-mecricbeat-

今日日志概況統(tǒng)計今天所有接入的日志數(shù)量，當日志數(shù)量大于等于1萬時，如日志總量

為234567,則顯示23.46萬，采用四舍五入的方式；小于1萬時，則按正常方式顯示

接入設備數(shù)量為今天接入的所有日志對應的設備IP數(shù)量。

餅狀圖按照index統(tǒng)計今天的日志數(shù)量，當index的數(shù)量大于11時，則在餅圖中顯示

TOP10及其他，其他則為除了TOP10以外的所有index統(tǒng)計之和。

點擊“查看詳情”在新的標簽頁打開“數(shù)據(jù)源統(tǒng)計"頁面

2.過去7曰流量使用

直看詳情

過去7日流量使用

W2G

今日流量

039G

3.97%

左邊柱形圖統(tǒng)計過去7日每日使用的流量大小（不包括今天），紅色虛線代表每日流量許

可，超出許可的用紅色柱形表示。

右邊環(huán)形圖統(tǒng)計今天到當前為止使用的流量大小，環(huán)形圖表示今天已使用的流量大小與

今日許可流量的比值，用百分比表示。

點擊“查看詳情”在新的標簽頁打開“許可管理”頁面

3.主機概況（近24小時）

主機4L況（近24/人酎）

用戶■亶昆

202”22”0

用戶an笈條用尸TOP5

UMT02UMfO3UW04UMTC6

主機概況部分統(tǒng)計近24小時的主機相關(guān)事件，包含設備重啟/宕機次數(shù)、新啟動的服

務數(shù)、用戶變更（新增、修改）的事件數(shù)量、用戶組變更（新增、修改）的事件數(shù)量，點擊

數(shù)值彈窗顯示對應的原始日志信息。

用戶登錄曲線圖顯示成功登錄、失敗登錄的日志數(shù)量隨時間變化的趨勢走向。其中左側(cè)

左邊坐標為成功登錄，右側(cè)坐標為失敗登錄。

登錄用戶T0P5顯示近24小時登錄次數(shù)（成功和失敗）最多的前5個用戶，包括用戶

名和登錄次數(shù)。

點擊“查看詳情”跳轉(zhuǎn)到“主機監(jiān)控總覽”頁面

4.安全設備概況（近24小時）

安全&??況

1???

2234234341234

?危?仲￡■

■caipws勝■次■

1810812323443141809%

1816*12323433421745%

102168123J3424431300%

10216812323423421245%

1815232342324122$%

M4URLTOP5

離危事件婀OP5

或由次??或dbum.

■?次?

hopJJwwwbadeom

DOOSMT1M19S0

hep,?ctwtsoonVexamplMhum

JEftM21M01M

wafUW367hep;/wwws0ur*oom

t2AttIia$M65hsp//wwwS8TcorWS8T_HOME

83wifi>sn?hup^huebancxxWpirsWdlSi79fi/

安全設備概況統(tǒng)計近24小時的安全設備相關(guān)事件。

防火墻已防護顯示已坊護風險連接（防火墻日志中連接被denied掉的日志）的次數(shù)。

點擊“查看詳情”進入“防火墻總覽"頁面，點擊數(shù)值彈窗顯示對應的原始日志信息，

IPS已偵測顯示IPS所有日志的數(shù)量。

WAF已防護顯示W(wǎng)AF所有日志的數(shù)量。

高危時間數(shù)量曲線圖基于IPS和WAF等級為高或者被blocked掉的日志數(shù)量，統(tǒng)計各

個時間段高危事件發(fā)生的次數(shù)。

被攔截IPTOP5統(tǒng)計被"denied"或"blocked”次數(shù)最多的5個被攔截IP,顯示IP地

址、攔截次數(shù)和占比三列。

高危事件類型TOP5基于IPS和WAF等級為高或者被blocked掉的日志數(shù)量統(tǒng)計發(fā)

生次數(shù)最多的前5個高危事件，并按照發(fā)生的次數(shù)降序排列，表格包含事件類型、事件來

源及次數(shù)3歹IJ,事件類型為原始日志中表示類型的字段事件來源為IPS或WAF。

被攻擊URLTOP5統(tǒng)計WAF等級為中、高或被blocked的所有日志數(shù)據(jù)中被攻擊URL

的前5個，包含攻擊次數(shù)和被攻擊URL兩列，按降序排列。

點擊查看詳情跳轉(zhuǎn)到“安全設備總覽”頁面。

6.2告警總覽

告警總覽包含今日實時分級告警總覽、今曰實時高危資產(chǎn)TOP10.今日實時最新告警

三部分，每2s更新一次。

aftWCcXfi>fiVM

24M)^%vtMtAa?att.vorf-71MjM.wM_action**nMUM_a0?11021

241^3?4RMMtJa?it?_9ort?raUM_“?l?n】?MM_3AJM_4pert?n&aM_-1?21]付.

R"6O?TMMWMK9/^^

24Fl?n]2M.m0?—川認一\19<?0^^加1?210乂”?INlUOLaM_tf>Kk.t>pf

1.今日實時分級告警總覽

實時統(tǒng)計今日基于任務規(guī)則產(chǎn)生的告警，按高、中、低等級分別統(tǒng)計并進行分級展示。

點擊餅圖高、中、低任一區(qū)域可鉆取至對應等級的告警類型數(shù)量統(tǒng)計。

“日nrm—更

，**?正

2.今日實時高危資產(chǎn)TOP10

橫向柱形圖顯示今日高危資產(chǎn)的TOP10,按照資產(chǎn)對應的告警數(shù)量進行排序。

3.今日實時最新告警

實時顯示今日最新前20筆基于任務規(guī)則產(chǎn)生的告警事件。

6.3地域分析

通過地域分析報表，可以基于全國/省市地圖查詢當前系統(tǒng)的告警事件，當告警產(chǎn)生時，

會通過源IP、目標IP與IP庫地址進行對照，從而產(chǎn)生由源IP訪問目標IP的攻擊鏈路圖。

支持全國/省市切換及基于地圖、事件軌跡、目標IP、告警來源鉆取具體告警信息。

1.時間范圍選擇

通過首頁進入“地域分析”報表，時間控件默認顯示過去30分鐘實時告警事件。通過

“全部功能”進入"地域分析”報表，時間控件默認顯示今天實時告警事件。點擊時間控件

可按需選擇或自行編輯時間范圍。

2.主地圖顯示

通過“全部功能”進入，主地圖顯示全國地圖；通過首頁點擊地圖某一省市進入，主地

圖顯示所點省市地圖，報表根據(jù)時間范圍及所選全國/某一省市檢索系統(tǒng)的告警事件并相應

顯示。

點擊地圖實現(xiàn)全國/省市切換：點擊全國地圖某一省市可切換主地圖為省市地圖，并在

左上角縮略圖區(qū)域顯示全國地圖；再次點擊縮略圖區(qū)域的該省市區(qū)塊，則可從省市地圖切換

回主地圖。

如果告警事件中源IP、目標IP均存在時，則在地圖上以從源IP到目標IP的箭頭線呈現(xiàn)

告警事件軌跡，點擊箭頭線可鉆取彈窗顯示選擇時間范圍內(nèi)該條事件軌跡的具體告警事件信

息；

如果告警事件中源IP缺失，則根據(jù)目標IP或資產(chǎn)R在地圖上以標識點呈現(xiàn)，點擊標

識點可鉆取彈窗顯示選擇時間范圍內(nèi)該點的目標IP所屬城市/資產(chǎn)IP所屬城市的具體告警事

件信息；

無告警事件或缺失舊則不顯示箭頭線及標識點。

3.TOP5事件軌跡

列表顯示選擇時間范圍內(nèi)主地圖區(qū)域所選全國或某省市的TOP5事件軌跡、次數(shù)。無

告警則顯示標題欄并在數(shù)據(jù)欄顯示暫無數(shù)據(jù)。

事件軌跡格式為“源城市,目標城市”；標識點事件軌跡格式為“目標IP所屬城市/

資產(chǎn)IP所屬城市”。

點擊列表數(shù)據(jù)鉆取彈窗顯示選擇時間范圍內(nèi)該條事件軌跡對應的具體告警事件信息。

4.TOP10事件來源

列表顯示選擇時間范圍內(nèi)主地圖區(qū)域所選全國/某省市的TOP10事件來源、次數(shù)。無

告警則顯示標題欄并在數(shù)據(jù)欄顯示暫無數(shù)據(jù)。

色圈標識表示告警事件等級，紅色表示高、橙色表示中、黃色表示低。

點擊列表數(shù)據(jù)鉆取彈窗顯示選擇時間范圍內(nèi)該類事件來源的具體告警事件信息°

5.TOP10目標IP

列表顯示選擇時間范圍內(nèi)土地圖區(qū)域所選全國/某省市的TOP10目標IP、次數(shù)。無告

警則顯示標題欄并在數(shù)據(jù)欄顯示暫無數(shù)據(jù)。

目標IP缺失時，使用資產(chǎn)IP對照目標城市。

點擊列表數(shù)據(jù)則鉆取彈窗顯示選擇時間范圍內(nèi)該目標IP/資產(chǎn)IP的具體告警事件信息。

6.4安全設備總覽

安全設備總覽是對防火墻、IPS和WAF原始日志的統(tǒng)計報表。報表默認顯示實時模式,

點擊=按鈕可顯示時間控件,可根據(jù)需要選擇時間范圍將報表切換至非實時模式，查看歷

史統(tǒng)計報表。

。告警儀裊族>安全設備總優(yōu)