跳至主内容

分析检测事件

威胁探测器 提供多样化的列和筛选器帮助您浏览事件列表。您既可从下拉菜单中选择筛选条件,也可输入匹配目标结果的关键词。

Threats_Xplorer_-_Analyzing_events.PNG

可用的列和筛选器包括:

  • 检测时间

    本列显示检测发生的精确时间与日期。通过筛选器可查看预设时间区间或自定义区间内的事件。

  • 公司

    本列按公司显示检测事件。您可选择单个或多个公司查看具体事件集合,也可通过专用筛选器查看您直接管理的所有公司或您有权访问的所有公司的事件。

  • 类别

    本列使用文件、电子邮件、网站、进程等通用分类对识别出的威胁进行分类。

  • 详情

    本列提供识别威胁的具体信息,如文件路径、进程路径、网站网址、邮件主题等。

  • 采取的措施

    本部分展示对威胁采取的措施及发生次数。例如,通过可用筛选器可查看被拦截、删除、隔离、上报的项目等。

  • 终端名称

    本列显示检测发生所在设备的名称。您可在筛选搜索栏输入设备名称进行搜索。

  • 命令行

    本部分提供检测到的威胁中使用的命令行详情(如有)。

  • 威胁类型

    本列展示发现的威胁类型。您可从筛选器选择一个或多个类型并识别对应事件。有关可用威胁类型的更多信息,请参阅 术语表 章节。

  • IP地址

    本部分提供检测发生所在设备的IP地址。

  • 终端类型

    本列显示设备类型信息,包括服务器、工作站、容器或容器主机。

  • 用户

    本列显示攻击中使用的用户名。

  • 检测模块

    本部分提供识别威胁的 GravityZone 模块名称。您可使用筛选选项优化事件列表。

  • 检测技术

    本部分提供用于识别威胁的 GravityZone 技术信息。您可使用筛选选项优化事件列表。

  • 威胁名称

    本列显示已识别威胁的确切名称。您可通过在筛选搜索栏输入名称,查找特定威胁相关事件。

  • 无文件攻击

    本列提供关于无文件攻击存在的详细信息。

  • SHA256

    可通过本列查询文件哈希值信息,并使用关联筛选器发现特定哈希值的事件。

  • 标签

    该列及筛选器显示所选公司可用的自动或自定义终端标签。您可筛选查看带有特定标签(仅自定义/自动标签)或未分配标签的终端检测事件。标签不适用于非托管终端或 安全服务器 实例。更多信息请参阅 使用终端标签 .

注意

  • 页面左侧列上方的项目数表示根据所选筛选器的检测事件总数。您还可查看标明事件被检测次数的发生频次。

  • 要管理 威胁探测器 页面,请使用右上角的选项。您可导出数据、调整列、清除筛选器、移除筛选器板块、刷新表格或切换至紧凑视图。

检测详情

检测详情 面板支持深度分析,提供事件专属信息及多项调查与修复操作。

要分析事件,请从表格中选择并在右侧打开的面板查看详情。面板包含:

事件详情:

  • 威胁相关信息,如威胁类型、名称、采取的措施、检测模块等。

  • 检测项详情,包括类别及进程ID、文件路径、URL、邮件主题等具体信息。

  • 终端详情,如终端名称、类型、风险评分、分配标签与策略、现存漏洞或配置错误等。

    Threats_Xplorer_-_Detection_details_panel.png

操作:

  • 扫描 :配置并启动终端扫描任务。

  • 隔离 :执行此操作可将终端与网络隔离直至威胁解除。

  • 添加排除项 : 为检测到的项目创建排除项。此操作适用于文件和进程。

  • 添加到阻止列表 : 将检测到的项目添加到阻止列表。仅当项目哈希存在时此操作可用。

  • 显示检测结果 : 查看终端在过去24小时内的所有安全事件。

  • 在网络中显示 : 在 网络 资产清单中查看终端。

为了提升安全分析能力和整体可访问性,您还可以从 威胁探测器 页面访问 执行摘要 .

本节内容 :