PHASR仪表板
PHASR收集的数据按类别组织、分析并呈现在相关组件中。您可以在 监控 > ASM仪表板 页面找到这些组件,当 PHASR 在智能视图中被选中时。
本页面提供一系列微件,深入分析您公司潜在的攻击结构,识别暴露区域并增强对可能攻击向量的可见性。它突出显示可立即实施的建议以降低攻击面暴露。页面还包含与建议相关的信息链接,助力更高效、有针对性的缓解措施。微件会根据每类最短规则学习周期显示剩余学习时间及完成百分比。
注意
若策略中禁用了某个受监控类别,其对应微件将不显示数据,并呈现以下提示: 该活动类型的监控已禁用 .
本功能包含以下微件:
攻击面暴露
此微件显示公司当前攻击面暴露的百分比,突出潜在可利用攻击向量的比例,清晰量化暴露风险。目标是降低该百分比以最小化公司面临潜在威胁的脆弱性。了解更多通过实施 PHASR建议 章节的推荐或管理 PHASR监控规则 章节的访问权限来最小化攻击面。
在数据收集阶段,PHASR通过观察用户活动和工具使用来评估可减少的攻击面范围。此时微件显示进度指标而非完整暴露分数,因系统仍在学习正常与高风险行为的特征。
监控阶段启动后,仪表盘将显示0至100的残余暴露分数。数值越高暴露越大,0表示所有可降低风险已消除。仪表盘按风险等级配色,并标注具体百分比。
下方分数分解显示自动巡航(Autopilot)和直接控制(Direct Control)各自减少的暴露量。仪表盘实时显示剩余暴露量,分数随风险缓解下降,但新风险出现时可能回升。
当新用户或终端出现时,微件进入混合模式:持续监控现有数据同时收集新用户信息,待其基线确立后更新暴露分数。
纯自动巡航模式下残余分数可归零,但微件仍会显示原始攻击面的减少量,确保完全透明呈现暴露处理过程。
全阶段中,微件同步显示当前暴露量与已缓解量,保持各环节透明度。
攻击面暴露随时间波动
该微件展示组织整体风险分数随时间的变化趋势,帮助识别拐点及与行动/新问题的关联性。
折线图显示分数变化,下拉菜单可选最近7/30/90天数据。默认加载30天视图,数据动态更新。悬停数据点可查看精确分数与日期。
受限行为画像
本微件按PHASR类别和执行方式(自动巡航或直接控制)展示受限行为画像。
图表中央数值表示所有类别的受限行为画像总数,等于各分类自动巡航与直接控制数量的总和。
扇形区块按类别(本地二进制文件利用、远程管理工具、篡改工具、盗版工具、加密矿工)分布,悬停显示具体数量。图表下方列出每类总数(自动巡航+直接控制)及分项统计。点击数值可打开对应画像的侧边面板。
PHASR终端分布
该微件展示终端在PHASR各类别中的限制情况。每根柱条代表一个PHASR类别(同上),分段显示自动巡航与直接控制的限制终端数,便于分析人员快速对比自动管理与需人工干预的类别。
同一类别的柱条可包含多来源限制(如自动巡航和直接控制共同作用)。
按影响力排序的优先建议
注意
本部分仅显示公司策略中配置为 直接控制 的数据类型建议。自动驾驶模式建议会自动应用且不会显示在仪表盘中,配置为 自动驾驶模式 的数据类型信息也不会显示在小部件中。
该小部件显示优先级排序的建议,分为两个部分:
-
高影响 - 适用于公司所有行为档案的建议
-
中等影响 - 仅适用于公司特定行为档案的建议。
建议按其减少攻击面暴露的潜在影响进行排序。每条建议显示受影响的行为档案数量及其对整体攻击面暴露的影响,有助于将精力集中在最有效的领域。
将鼠标悬停在建议名称上可查看完整描述,为决策提供更多详细信息。
点击中间列下方的图标将显示 行为档案 侧边面板,其中显示用户和端点的完整列表。
监测攻击向量类别的检测事件
该小部件列出与PHASR监测的每种活动类型相关的检测事件总数:
-
篡改工具
-
本地二进制文件利用
-
加密矿工
-
盗版工具
-
远程管理工具
每个类别指示监测的进程是否涉及事件。要查看相关事件的详细列表,可点击每个类别中提供的链接。这些链接将跳转至 事件 页面。每种活动类型可能具有以下值之一:
-
该类别无进程涉及事件
-
该类别有进程涉及事件
-
数据收集中
-
无可用数据
当您切换到 事件 页面时, 目标活动类型 列默认不显示。要查看该列,请打开设置面板并启用 目标活动类型 选项。
盗版工具
该组件根据盗版工具使用情况将行为档案分为三类:
-
使用此类工具的行为档案——指PHASR检测到该类别工具使用记录的行为档案。
-
未使用此类工具的行为档案——指PHASR未检测到该类别工具使用记录的行为档案。
-
受限行为档案——这部分单独展示自动控制和直接控制的细分数据,以便更清晰地观察每种类别内的执行情况。
针对每项与盗版工具使用相关的建议,该组件会显示受影响用户数量及适用指定操作的终端数量。
同时突出显示每项建议对整体风险面的预期影响,助力更精准的风险管理和有效缓解策略的制定。
提示
盗版工具是指可用于访问、操纵或利用系统及数据的工具。PHASR盗版工具组件通过监控用户档案中的此类工具,识别有使用记录的用户,并提供建议以降低未经授权访问或滥用带来的风险。
该组件根据PHASR当前所处的数据收集阶段显示相应数据:
-
数据收集阶段——首次启用PHASR时,系统会开始主动收集用户档案数据以建立行为模式,检测潜在可利用的攻击向量。此时组件会显示饼图展示阶段进度。
-
监控阶段——当所有用户数据收集完成后,组件将显示最终饼图,汇总使用盗版工具与未使用用户的总数,全面展示组织内盗版工具暴露情况,并列示尚未实施的建议清单。
-
混合阶段——若监控阶段检测到新用户,系统将在保留现有用户数据的同时开始监控新用户。
先前建议保持可见,而新用户数据分析进度将通过饼图展示。这使得您可以在组件持续学习新用户数据时查看可执行建议。
新用户数据收集完成后,组件将返回监控阶段。
悬停建议名称可查看完整描述,为决策提供更详细信息。
点击中间列下方的图标可打开 行为档案 侧边面板,查看完整的用户及终端列表。
加密货币挖矿程序
该组件通过检测组织环境中的加密货币挖矿工具或活动,监控并分类行为档案。它提供有挖矿活动记录、无活动记录及受限行为档案的洞察,同时给出降低未经授权或有害挖矿操作风险的建议。
提示
加密货币挖矿程序是用于数字货币挖矿的软件工具,通常消耗大量系统资源,若未经授权使用可能带来安全风险。PHASR加密货币挖矿组件通过识别参与挖矿活动的用户档案,帮助组织监控资源使用情况,并通过定制建议降低风险暴露。
该小组件根据PHASR当前数据收集阶段显示数据:
-
数据收集阶段——首次启用PHASR时,小组件开始主动从用户配置文件中收集数据,以建立模式并检测可能利用系统资源的挖矿相关活动。在此期间,该小组件会显示饼图以展示阶段进度。
-
监控阶段——当收集完所有用户数据后,小组件会显示最终饼图,汇总有挖矿活动的用户与无活动用户的总数。此阶段还包含一份尚未实施的推荐措施清单,全面展示组织内的挖矿风险暴露情况。
-
混合阶段——若在监控阶段检测到新用户,将对这些用户启动监控,同时保留现有用户数据。
先前推荐措施保持可见,同时饼图更新以显示分析这些新用户配置文件的进度。该混合阶段使得现有数据的可操作见解持续有效,而PHASR继续监控和评估任何新的挖矿相关活动。
收集完新用户数据后,小组件将返回监控阶段。
悬停在推荐名称上可查看完整描述,为决策提供更多详细信息。
点击中间列下方的图标可显示 行为配置文件 侧边面板,其中展示完整的用户和终端列表。
远程管理工具
该小组件监控行为配置文件,并根据组织内远程管理工具(RAT)的检测结果进行分类。它提供以下洞察:记录使用过远程管理工具的行为配置文件、无使用记录的行为配置文件以及受限制的行为配置文件。同时提供管理或缓解与这些工具相关潜在风险的推荐措施。
提示
远程管理工具(RAT)为系统提供远程访问以进行管理或支持,但若滥用可能被利用。PHASR小组件监控用户配置文件中的RAT使用情况,区分授权活动与潜在风险行为,并提供保护远程访问点的可操作见解。
该小组件根据PHASR当前数据收集阶段显示数据:
-
数据收集阶段——首次启用PHASR时,小组件开始主动从用户配置文件中收集数据,以建立模式并检测可能因滥用而构成安全风险的远程管理工具使用情况。在此期间,该小组件会显示饼图以展示阶段进度。
-
监控阶段——当收集完所有用户数据后,小组件会显示最终饼图,汇总使用远程管理工具的用户与未使用用户的总数。此状态还包含一份尚未实施的推荐措施清单,全面展示组织内远程管理工具的暴露情况。
-
混合阶段——若在监控阶段检测到新用户,将对这些用户启动监控,同时保留现有用户数据。
先前推荐措施保持可见,同时饼图更新以显示分析这些新用户配置文件的进度。该混合状态使得现有数据的可操作见解持续有效,而PHASR继续监控和评估任何新的远程管理工具活动。
收集完新用户数据后,小组件将返回监控阶段。
悬停在推荐名称上可查看完整描述,为决策提供更多详细信息。
点击中间列下方的图标可显示 行为配置文件 侧边面板,其中展示完整的用户和终端列表。
篡改工具
该小组件监控行为配置文件,并根据组织内篡改工具的检测结果进行分类。它提供以下洞察:记录使用过篡改工具的行为配置文件、无使用记录的行为配置文件以及受限制的行为配置文件。同时提供缓解与这些工具相关风险及维护系统完整性的推荐措施。
提示
篡改工具用于更改或绕过系统保护措施,可能危及安全性和数据完整性。PHASR篡改工具小组件检测用户配置文件中的此类活动,突出潜在威胁并提供维护系统完整性的建议。
该小组件根据PHASR当前数据收集阶段显示数据:
-
数据收集阶段——首次启用PHASR时,小组件开始主动从用户配置文件中收集数据,以建立模式并检测可能危害系统安全或完整性的篡改工具使用情况。在此期间,该小组件会显示饼图以展示阶段进度。
-
监控阶段——当所有用户数据收集完成后,该组件会显示最终饼图,汇总使用篡改工具与未使用用户的总数。此阶段还会列出所有尚未实施的待处理建议,全面展示整个组织中篡改工具的暴露情况。
-
混合阶段——若在监控阶段检测到新用户,将对这些新用户启动监控,同时保留现有用户数据。
先前建议保持可见,饼图则更新显示分析这些新用户档案的进度。该混合阶段使得现有数据的可行洞察持续有效,同时PHASR继续监控和评估任何新的篡改工具活动。
收集完新用户数据后,组件将返回监控阶段。
悬停在建议名称上可查看完整描述,为决策提供更多细节信息。
点击中间列下方的图标将显示 行为画像 侧边面板,其中展示完整的用户和终端列表。
无文件攻击二进制工具
该组件通过监测组织内无文件攻击二进制工具的检测情况,对行为画像进行分类。它提供以下洞察:记录使用过此类二进制工具的行为画像、无使用记录的行为画像,以及受限制的行为画像。同时给出建议以最小化系统原生工具被恶意利用的风险。
提示
无文件攻击二进制工具是可能被恶意利用的合法系统工具,能使攻击者规避检测。PHASR组件监控用户画像中此类工具的使用情况,识别潜在恶意利用实例,并提供在维持必要系统功能的同时降低风险的策略。
该组件根据PHASR当前所处的数据收集阶段显示数据:
-
数据收集阶段——首次启用PHASR时,组件开始主动收集用户画像数据以建立模式,并检测可能被用于未授权操作的无文件攻击二进制工具使用情况。此阶段组件显示饼图展示进度。
-
监控阶段——当所有用户数据收集完成后,组件显示最终饼图,汇总使用与未使用无文件攻击二进制工具的用户总数。此阶段还会列出待处理建议,全面展示该工具在整个组织中的暴露情况。
-
混合阶段——若监控阶段检测到新用户,将对其启动监控,同时保留现有用户数据。
先前建议保持可见,饼图更新显示新用户画像分析进度。该阶段使现有数据的可行洞察持续有效,同时PHASR继续监控新的无文件攻击二进制工具活动。
收集完新用户数据后,组件将返回监控阶段。
悬停在建议名称上可查看完整描述,为决策提供更多细节信息。
点击中间列下方的图标将显示 行为画像 侧边面板,其中展示完整的用户和终端列表。
查看建议详情
您可以通过打开 建议详情 侧边面板查看建议的附加信息。点击建议名称即可打开侧边面板:
-
概览 - 本部分包含以下信息:
-
目标活动类型 - 建议所针对的活动类型。
-
攻击面缩减 - 表示应用该建议对整体攻击面的影响程度。
-
创建时间 - 该建议生成的日期和时间。
-
监控规则 - 显示用于生成建议的规则名称。
注意
监控规则名称显示为链接,点击将在新标签页中打开PHASR监控规则网格,并自动按选定规则进行预筛选。
-
行为画像 - 显示该建议关联的画像总数。
-
采取的措施 - 根据建议执行的操作。
-
-
详情 - 本节提供漏洞的文字说明及其可利用方式
-
建议缓解措施 - 修复漏洞的推荐操作。
-
操作按钮 - 根据建议状态,该按钮可让您 限制访问 .
自定义仪表板
该 ASM仪表板 支持完全自定义,可移动/调整控件大小,并选择要显示的控件。
选择可见控件
要显示/隐藏特定控件,请点击仪表板页面右上角的设置按钮,勾选目标控件后点击 应用 .
移动控件
拖动控件右上角的拖动手柄按钮,将其放置到目标位置即可移动控件。
调整小组件大小
要调整小组件尺寸,请点击小组件右下角的调整大小按钮,拖动至所需尺寸即可。
智能视图操作
此功能可让您自定义、保存并切换页面的不同布局方案。
面板包含以下部分:
-
搜索视图 - 通过名称在此搜索框筛选现有视图。
-
已保存 - 本区域显示所有未标记为收藏的已保存视图列表。
-
收藏夹 - 所有标记为收藏的视图将在此区域显示。
-
默认视图 - 本区域显示系统默认提供的视图。