跳至主内容

管理监控规则

监控规则是PHASR用于识别潜在攻击向量并允许用户减少攻击面暴露的机制。每条规则可生成多项建议。

您可通过访问 PHASR监控规则 页面查看当前通过PHASR应用的所有生效规则列表。

PHASR_monitored_rules_grid.png

  1. 视图 选项 菜单。本部分提供多种视图操作功能:

    • 重置视图 - 将保存的视图恢复至初始状态。

    • 显示或隐藏筛选器 - 隐藏或显示筛选器菜单。

    • 打开设置 - 显示 设置 面板。

      可通过此面板自定义视图中显示的列,并启用或禁用 紧凑 视图。

  2. 筛选器 部分。 这些选项可用于自定义下方表格中显示的风险项。

    当前可用的筛选器如下:

    筛选选项

    说明

    所属公司

    使用可搜索的下拉菜单,根据监控规则所属公司名称进行筛选。

    仅显示属于所选公司的监控规则。此筛选器仅对合作伙伴型公司可用。

    规则名称

    使用可搜索的下拉菜单,根据监控规则名称进行筛选。

    仅显示选定的监控规则。

    规则触发日期

    使用日历选择两个日期。

    仅显示在选定日期范围内触发的监控规则。

    无限制行为画像身份

    使用可搜索的下拉菜单,根据监控规则所针对的身份名称进行筛选。

    仅显示为选定身份创建的监控规则。

    无限制行为画像资源

    使用可搜索的下拉菜单,根据规则所针对的资源名称筛选监控规则列表。

    仅显示针对选定资源创建的监控规则。

    目标活动类型

    使用下拉菜单根据目标活动类型名称筛选监控规则。

    仅显示针对选定活动类型的监控规则。

  3. 监控规则表 展示了所有活跃的PHASR监控规则。

    每条发现结果的信息显示在以下列中:

    • 规则名称 - 监控规则的名称。

      点击名称将显示 监控规则详情 侧边面板。

    • 建议 - 基于该规则创建的建议数量。

      点击该列下的数值将跳转至PHASR建议页面,表格会自动筛选显示因触发该规则而产生的建议。

    • 规则触发日期 - 显示最近触发该规则的日期和时间。

    • 目标活动类型 - 规则适用的活动类型。

    • 规则触发 - 触发该规则的事件数量。

      点击名称将显示 规则触发 侧边面板。

    • 无限制行为画像 - 该规则适用的行为画像数量。

      点击该列下的图标将显示 行为特征档案 侧边面板,其中显示用户和设备的完整列表。

      注意

      本节列出了PHASR目前发现的行为特征档案。但这并不意味着其学习过程已完成。随着系统持续收集和分析数据,可能会新增更多档案。

    • 受限行为特征档案 - 根据此规则限制访问的行为特征档案数量。

      点击该列下方的图标将显示 行为特征档案 侧边面板,其中显示用户和设备的完整列表。

    • 公司 - 被监控规则所属的公司。

    注意

    各列信息的更多详情可在筛选器部分输入查看。

  4. 操作菜单 - 点击行内菜单按钮将显示针对该推荐可用的操作列表:

    • 查看/编辑访问权限 - 此选项将显示 编辑访问权限 窗口,您可在此查看并限制或允许对行为特征档案的访问。

查看被监控规则详情

您可以通过打开 被监控规则详情 侧边面板查看被监控规则的更多信息。要打开侧边面板,请点击 规则名称 列下的规则名称:

PHASR_monitored_rules_sidepanel_981499_en.png

  • 常规 - 此部分包含以下信息:

    • 目标活动类型 - 该规则针对的活动类型。

    • 规则触发日期 - 规则最后一次触发的日期和时间。

    • 规则触发次数 - 触发此规则的事件数量。

      点击名称将显示 规则触发 侧边面板。

    • 建议数量 - 基于此规则创建的建议数量。

      点击此列下方的数值将跳转至PHASR建议页面,表格将自动筛选显示因触发规则而产生的建议。

    • 行为画像 - 此建议适用的行为画像数量。

      点击此列下方的图标将显示 行为画像 侧边面板,其中展示完整的用户和设备列表。

    • 受限行为画像 - 基于此规则被限制访问的行为画像数量。

      点击此列下方的图标将显示 行为画像 侧边面板,其中展示完整的用户和设备列表。

    • 涉及规则触发的事件 - 因该规则触发而开启的事件列表。

      点击关联事件名称将打开 关系图 标签页(位于 事件 页面),并在新浏览器标签中显示。

  • 受监控规则描述 - 提供关于规则内容及其适用方式的描述。

  • 操作按钮 - 根据建议状态,此按钮允许您 限制访问 .

查看和编辑访问权限

要编辑特定规则的行为配置文件访问权限,请按以下步骤操作:

  1. 前往 PHASR监控规则 页面。

  2. 找到需要修改访问权限的规则,在 规则名称 列下选择其名称。

    系统将显示 规则详情 侧边面板。

  3. 选择 编辑访问权限 .

    此时会弹出 编辑访问权限 窗口。

    PHASR_edit_access_981499_en.png

  4. 行为配置文件 部分,配置您希望限制或允许访问的部门、用户或设备。

    通过建议功能施加的限制也可在监控规则中移除。

    注意

    PHASR从Active Directory的"部门"字段获取部门信息,并仅在控制台中为受监控用户显示。此功能需满足以下条件:机器具有AD访问权限且用户部门已定义。若该字段为空或无法访问AD,则不会显示部门信息,相关用户将归类至"未分配"组(显示在建议或监控规则部分)。

  5. 选择 编辑访问权限 以应用更改。

查看规则触发记录

要查看规则触发时发生事件的详细信息,请按以下步骤操作:

  1. 前往 PHASR监控规则 页面。

  2. 找到您需要更改访问权限的规则,并选择 规则触发 列下显示的数字。

    随后 规则触发 侧边面板将显示。

    PHASR_rule_triggers_981499_en.png

该面板包含每次规则触发事件的相关信息:

  • 时间戳 - 规则触发的具体时间与日期。

  • 用户名 - 触发规则的用户名称。

  • 主机名 - 触发规则的终端主机名称。

  • 关联事件 - 因规则触发而生成的安全事件。

    点击关联事件名称将打开新浏览器标签页中 关系图 标签页(位于 事件 页面)。

本节内容 :