事件调查
该 事件 模块可帮助您对事件传感器在特定时间范围内检测到的所有安全事件进行筛选、调查和处置。
本模块包含以下功能:
-
事件 :查看和调查事件。
-
阻止列表 :从事件中管理被阻止的文件。
-
搜索 :查询安全事件数据库。
-
自定义规则 :为排除项或检测创建自定义规则
注意
这些功能的可用性和运行情况可能因当前套餐包含的许可类型而异。
事件页面
事件 页面提供了一个高度可定制的网格,用于显示为托管公司生成的 EDR / XDR 事件列表。
该页面包含以下区域:
-
智能视图 面板切换按钮。此功能允许您自定义、保存并切换 事件 页面的不同布局配置。
面板包含以下部分:
-
搜索视图 - 使用此搜索字段按名称筛选下方各节中显示的视图。
-
已保存 - 本部分显示所有未标记为收藏的已保存视图列表。
-
收藏夹 - 所有标记为收藏的视图将显示在此部分下。
-
默认视图 - 此部分显示默认提供的视图:
-
所有事件
-
分配给您的事件
-
终端事件
-
组织事件
-
对于 已保存 或 收藏 类别中的任何视图,您可以点击
来
重命名
或
删除
该视图。
-
-
视图选项 菜单 。此部分为您提供了多种视图操作功能:
-
保存 :使用此选项保存对已保存视图的更改。
-
另存为 :允许您以不同名称保存修改后的视图。
-
放弃更改 :将已保存的视图恢复至原始状态。
-
显示演示事件 或 隐藏演示事件 :启用或禁用该 XDR 演示模式 功能。
-
添加到收藏夹 :将当前视图添加至 收藏夹 分类。
-
导出视图 :将事件网格导出为CSV文件。
每个实体或资源类型均显示在独立列中。这些列为动态生成:若事件未涉及特定资源或实体类型,则对应列不会显示。
重要提示
单次最多可导出10,000条事件。若数据量超过此限制,建议调整搜索条件。
-
显示/隐藏筛选器 :隐藏或显示筛选器菜单。
-
打开设置 :显示 设置 面板。
可通过此面板自定义视图显示的列,并启用或禁用 紧凑 视图。
-
-
该 筛选器 区域。使用这些选项可自定义下方网格中显示的事件。
当前提供以下筛选选项:
筛选选项
详情
ID
输入完整的事件ID编号进行查询。
仅显示ID匹配的事件。
创建于
选择特定日期范围。
仅显示在该时间段内创建的事件。
最后更新于
选择特定日期范围。
仅显示在该时间段内最后更新的事件。
状态
选择以下一个或多个状态:
-
全部 - 显示所有事件,无论其状态如何。
-
未处理 - 尚未调查的事件。
-
调查中 - 当前正在调查的事件。
-
误报 - 标记为误报的事件
-
已关闭 - 调查已结束的事件。
负责人
从列表中选择一个 GravityZone 用户。
仅显示分配给所选用户的事件。
优先级
选择一个或多个可用优先级:
-
全部
-
未知
-
低
-
中
-
高
-
严重
仅显示具有所选优先级的事件。
严重性评分
拖动滑动条中的两个调节钮或输入具体数值以指定严重性评分范围。
严重性评分是介于10到100之间的数字,表示安全事件的潜在危险程度。分数越高,事件危险性越确定。该评分基于攻击指标和ATT&CK技术(如适用)提供上下文。
仅显示严重性评分在选定范围内的事件。
实体
从已知网络实体列表中选择一个或多个项目。
仅显示与所选实体相关的事件。
采取的措施
选择以下一个或多个选项:
-
全部
-
已报告
-
已拦截
-
部分拦截
仅显示分配了所选措施的事件。
关联事件
输入您要查找的子关联事件的完整ID编号。
将显示具有匹配ID的父关联事件。
资源
从事件涉及的已知资源列表中选择一个或多个项目。
仅显示与所选资源相关的事件。
最后攻击链阶段
选择一个或多个可用选项。该过滤器基于Mitre矩阵提供攻击阶段列表。
仅显示攻击终止于所选阶段之一的事件。
事件类型
在可用事件类型中选择。选择以下选项将改变网格中显示的信息:
-
全部 - 端点和组织事件均显示在网格中。
未与XDR事件关联的端点事件将作为独立条目显示。所有其他端点事件将显示在 关联事件 列中,与所属机构事件显示在同一行。
-
终端事件 仅当勾选此选项时显示终端事件,包含与机构事件关联及未关联的终端事件。
若同时勾选终端事件和机构事件选项,属于机构事件的终端事件将显示在关联事件列下,否则将作为独立条目显示在表格中。
-
机构事件 仅显示机构事件。
若机构事件关联了终端事件,这些终端事件将显示在 关联事件 列中。
参数
从可选参数中选择:
-
告警名称 事件涉及的告警名称。
-
ATT&CK技术 事件中使用的MITRE技术名称。
-
ATT&CK技术ID 攻击中使用的MITRE技术ID。
-
ATT&CK子技术 攻击中使用的MITRE子技术名称。
-
ATT&CK子技术ID 攻击中使用的MITRE子技术ID。
-
IP地址 事件涉及的IP地址。
-
MD5 事件涉及文件的MD5哈希值。
-
SHA256 事件涉及文件的SHA256哈希值。
-
节点名称 事件涉及的节点名称。
-
用户名 - 事件涉及的用户名。
-
文件名 - 事件涉及的文件名。
-
文件路径 - 事件涉及的文件路径。
-
URL - 事件涉及的URL。
-
MAC地址 - 事件涉及的MAC地址。
-
邮件主题 - 事件涉及的邮件主题。
-
电子邮件地址 - 事件涉及的电子邮件地址。
-
进程名称 - 事件涉及的进程名称。
-
进程路径 - 事件涉及的进程路径。
-
进程PID - 事件涉及的进程标识符。
-
注册表键 - 事件涉及的注册表键。
-
检测规则ID - 自定义检测规则的ID。
-
-
该 事件网格 。网格显示所有不超过90天且符合当前筛选条件的事件。
每个事件的可查看信息显示在以下列中:
-
ID - 事件的ID。
点击事件编号可查看该事件的详细信息。
勾选每个事件编号旁的复选框,以便在执行 更改状态 批量操作时包含该事件。
-
创建时间 - 事件创建的日期
-
最后更新时间 - 事件最后一次更新的日期。
-
状态 - 事件的状态。
-
负责人 - 负责该事件的安全分析师。
-
优先级 - 分配给该事件的优先级。
-
严重性评分 - 分配给该事件的严重性评分。
-
实体 - 事件涉及的实体列表。
点击任意实体可显示 实体 面板。
-
采取的措施 - 调查事件后采取的措施。
-
关联事件 - 与网格中显示事件相关联的子事件ID。
-
资源 - 相关资源列表。
点击任意实体可显示 资源 面板。
-
最后攻击链阶段 - 基于Mitre矩阵的攻击最后阶段。
-
事件类型 - 事件的类型。
备注
各列信息的更多详情可在 筛选器 部分查看。
-
-
点击 事件操作 按钮,该按钮提供以下选项:
-
查看事件和警报 - 选择此选项将打开 历史事件搜索 页面,并自动将搜索字段填充为与该事件相关的搜索参数。
-
优先处理 - 选择此选项将打开一个窗口,您可以在其中设置事件的新优先级、选择将更改应用于所有关联事件,并提供说明更新原因的注释。点击 更改 .
-
分配 - 选择此选项将打开一个窗口,您可以在其中设置事件的新负责人、选择将更改应用于所有关联事件,并提供说明更新原因的注释。点击 更改 .
-
-
点击 更改状态 按钮。使用此操作可对下方网格中所有选中的终端执行批量操作。
系统将显示确认窗口。
该窗口提供 将状态更改应用于所有关联事件 复选框。 勾选此项可将新状态同时应用于所有与所选事件相关联的事件。
您可通过 备注 文本框对事件状态变更原因进行注释。该注释将追加至该事件现有注释中。
-
优先级 按钮。此操作用于为下方表格中所有选定事件分配优先级。
系统将显示确认窗口。
该窗口提供 将优先级变更应用于所有关联事件 复选框。勾选此项可将新优先级同时应用于所有与所选事件相关联的事件。
您可通过 备注 文本框对优先级变更原因进行注释。该注释将追加至该事件现有注释中。
-
分配 按钮。此操作用于为下方表格中所有选定事件分配分析师。
系统将显示确认窗口。
该窗口提供 将分配变更应用于所有关联事件 复选框。勾选此项可将新分配人员同时应用于所有与所选事件相关联的事件。
您可通过 备注 文本框对分配变更原因进行注释。该注释将追加至该事件现有注释中。
事件管理
在 事件 页面中,您可以执行以下操作:
查看事件详情
要查看特定事件的更多信息,请使用以下任一方法:
-
显示事件详情面板 :点击您想查看事件所在行的任意位置(ID、资源和实体列除外):
-
显示扩展事件概览 :点击 ID 列下的ID。事件信息以富卡片形式列出,根据所选筛选条件提供每个事件的概览信息。
提示
您也可以将光标悬停在 ID 列右侧,点击出现的 复制 按钮来复制事件链接。
更改事件状态
调查状态可帮助您追踪已调查并标记为关闭或误报的事件、当前正在调查的事件以及尚未分析的开放或新事件。
按以下步骤更改一个或多个安全事件的状态:
-
勾选 ID 列下所有需要更改状态事件的复选框。切换网格页面时已选事件将保持选中状态。
提示
点击表头行的复选框可选中当前页面显示的所有事件。
-
点击 更改状态 按钮。
系统将显示可用状态列表:
-
选择其中一个可用状态:
-
开放 - 事件调查尚未开始。
-
调查中 - 您已开始调查该事件。
-
误报 - 调查结果显示事件触发为误报。
-
已关闭 - 事件调查已结束。
系统显示确认窗口。
该窗口提供 将状态变更应用于所有关联事件 复选框。 勾选此项可将新状态同步应用于所有与选定事件关联的事件。
此外,您可通过 备注 文本框输入变更事件状态的原因注释。该注释将追加至事件现有注释中。
-
-
点击 变更 确认请求。
查看与事件相关的事件和警报
您可通过以下步骤直接搜索与事件相关的所有事件和警报:
-
点击目标事件所在行右侧的菜单按钮以获取更多信息。
-
选择 查看事件和警报 :
系统将在新浏览器标签页打开 搜索 页面。查询字段自动填充包含选定事件信息的字符串,搜索结果将显示在下方。
从事件中删除可疑Gmail邮件
您可通过以下方式删除 组织事件视图 可通过以下任一方法实现:
提示
此功能仅适用于已集成的Google Workspace租户。
注意
该请求将被记录在 GravityZone 的 用户活动 .
从事件中对Google账户执行操作
您可以通过以下任一方法从 组织事件视图 对可疑账户执行操作。本指南将以停用账户为例进行演示:
提示
此功能仅适用于已集成的Google Workspace和Google Cloud Platform租户。
调查组织事件
当从 智能视图 中选中 事件 页面时, 组织事件 视图会显示环境中检测到的所有可能影响整个网络的全局复杂事件。
每个事件都有专属视图,展示环境中发生的关联事件,为您提供潜在分阶段攻击的网络全局视角。
重要提示
功能 XDR 的可用性取决于当前计划包含的许可证类型。
-
在 事件 页面中,点击 智能视图 按钮。
系统将显示 智能视图 面板。
-
选择 组织事件 .
此时 事件 网格中仅显示组织事件。
-
找到需要分析的安全事件,点击 ID 列。
您也可以点击任意事件的卡片打开侧边面板快速分析事件指标,或点击 查看事件 按钮进行深度分析。
事件默认在 组织事件概览 部分打开。
-
在 概览 选项卡中,您可以查看事件的根本原因,以及关于攻击如何实施的其它洞察。您还可以查看所使用的技术、涉及杀伤链不同阶段的企业资源。
响应 组件为您提供建议和可采取的措施,以立即遏制最迫在眉睫的威胁。
-
查看 需采取的行动 选项卡,了解消除或最小化活跃威胁所需的操作。
-
查看 已执行行动 选项卡,了解已采取哪些措施来消除或最小化威胁。
注意
在 响应 部分了解更多缓解威胁的措施。
-
-
打开
图表
视图查看扩展事件的图形表示。了解更多关于图表元素的信息
此处
.
-
可选地,使用活动面板按时间或攻击杀伤链中的相关性显示事件序列。
-
选择严重性最高的交互节点,分析侧边面板中的详细信息,包括:
-
交互的源和目标。
-
在此过程中触发的警报及相关资源的摘要。
重要提示
标记为红色的交互包含高严重性警报,应优先分析。
-
如需深入调查,可打开每个警报查看额外信息,包括警报指标、涉及工件、交互记录、所用资源、攻击技术及处置建议。
-
-
查看节点详情时,您可执行以下操作:
-
对于已遭入侵的用户,打开用户节点的侧边栏并执行以下操作:
-
禁用用户 - 禁用环境中参与攻击传播的用户账户。
-
强制重置凭据 - 强制特定用户账户在下次登录时更改密码。
-
标记用户为已入侵 - 将该用户添加到 高风险用户 报告中(路径:Azure AD > 安全)。
-
停用AWS账户 - 创建并应用策略以停用AWS用户账户并删除关联的访问密钥。此操作适用于已激活 AWS传感器(单账户环境配置) .
重要提示
参与恶意或可疑交互的用户会以特定身份节点表示,动态虚线会显示其可能入侵的环境中的其他资产。
-
-
要继续调查,请导航至 警报 窗口,查看作为事件关联部分的每个详细事件。
组织事件概览
该 概览 页面提供您正在调查的扩展事件的摘要,显示事件严重程度、环境中发生的关键安全事件以及受影响的组织资源信息。
调查事件的数据分为以下类别:
摘要
该 摘要 概述事件经过,展示 根本原因分析 事件的根本原因分析,以及 初始访问 ,由 ATT&CK 战术与技术触发的警报,以及受事件影响的资源。
点击蓝色信息可打开详情面板,其中包含指向 风险管理 或事件图谱的链接以供进一步调查。
注意
若仅显示一个实体,点击不会打开其详情面板,而是直接跳转至 风险管理 或事件图谱界面。
点击 生成报告 即可开始下载事件的详细PDF报告。该报告最多可包含1,000条警报和300个节点。
组织影响
组织影响 板块展示事件涉及的所有资源,包括受感染的服务器与终端、数据库、钓鱼邮件等。
可疑攻击者
本节提供用于识别和判定网络威胁或攻击背后个人、团体或组织的详细信息。
默认展开首个攻击者下拉菜单。每个攻击者显示以下信息:
-
攻击者名称 - 攻击者名称及关联图标。
-
置信度 - 该攻击者涉及本事件的置信百分比。
-
攻击者描述 - 攻击者相关描述。
-
跳转至IntelliZone的枢纽按钮。点击该按钮将在新标签页打开IntelliZone基础搜索中针对该IoC的查询结果。
-
别名 - 该行为者在安全领域中被赋予的其他名称。
-
动机 - 观察到的该行为者攻击目标(信息窃取、间谍活动等)。
-
赞助者 - 可能赞助该行为者的对象。
-
电子犯罪 - 该行为者知名的网络安全犯罪类型。
-
首次检测日期 - 该行为者首次针对您公司发起攻击的日期。
-
以您所在国家为目标 - 指示该行为者是否通常以事件发生公司所在国家为目标。
-
以您所在行业为目标 - 指示该行为者是否通常以事件发生公司所在行业为目标。
-
涉及事件 - 该行为者参与的相关安全事件。
点击链接将跳转至 事件 页面,并自动应用筛选条件以显示相关事件。
-
CVE编号 - 当前事件中涉及的CVE编号列表。
-
入侵指标 - 当前事件中涉及的入侵指标列表。
点击显示的入侵指标数量后, 入侵指标详情 侧边面板将展开,按类型分组展示具体指标明细。
-
MITRE攻击技术 - 该行为者常用且在当前事件中出现的MITRE攻击技术。
点击显示的攻击技术数量后, MITRE攻击技术 侧边面板将展开,展示具体的技术清单。
ATT&CK战术与技术
本部分展示当前攻击中使用的所有MITRE ATT&CK战术与技术。
高亮项
该 高亮项 显示调查事件中对您组织影响最大的杀伤链阶段。
点击 图表视图 按钮可查看按杀伤链分组的所有安全事件。 活动 面板。
响应
该 响应 区域提供了针对扩展事件中威胁的具体缓解措施,以快速减少对环境的潜在损害。
-
查看 需执行操作 选项卡,了解消除或减轻当前威胁所需采取的行动。
-
查看 已执行操作 选项卡,了解已采取哪些措施来消除或减轻威胁。
选择 查看详情 可跳转至 响应 选项卡,在此可执行所有必要操作、查看已执行操作并相应调整其状态。
关联风险
该 关联风险 组件汇总了与该特定事件相关的实体风险,包含以下部分:
-
关联风险图 - 以图形方式展示该特定事件中各类节点和资源类型的风险分布情况。
点击图表任意区块或 查看全部风险 按钮将显示 关联风险 面板。
-
根本原因风险 - 本部分列出该事件检测到的所有根本原因风险。
-
风险管理中的高风险项 - 本列表展示影响该事件中节点和资源类型的5个最严重风险。
-
云安全中的高风险项 - 本列表展示影响该事件中节点和资源类型的5个最严重风险。
点击图表任意部分、 根本原因风险 , 风险管理中的高风险项 或 云安全中的高风险项 区域的任一元素,或点击 查看全部风险 按钮将显示 关联风险 面板:
该面板包含两个标签页:
-
风险管理 - 此标签页提供来自端点风险分析功能的所有关联风险。
点击端点右侧菜单按钮可显示以下选项:
-
查看资源发现结果 - 跳转至 风险管理 > 资源 页面并自动筛选资源名称。
-
查看发现结果 - 跳转至 风险管理 > 发现结果 已应用筛选器以查找名称。
-
-
云安全 。此选项卡提供源自云安全控制台的所有相关风险。
点击端点右侧的菜单按钮可提供以下选项:
-
查看规则 - 跳转至 云安全 > 态势管理 > 规则 并应用了查找名称的筛选器。
-
查看资源 - 跳转至 云安全 > 态势管理 > 资源 并应用了资源类型和查找详情的筛选器。
-
组织事件图谱
该 图谱 动态展示了正在调查的扩展事件的图形化表示,提供了详细的活动时间线,包含外部攻击者在您的环境、多个终端及网络设备上引发或仍在活跃的关联事件序列。
事件图谱部分分为两大区域:
1. 活动面板
包含在您调查的扩展事件中检测和关联的所有警报。
-
面板大小可调;根据您的偏好调整其宽度。
-
需要更多空间处理其他任务时可折叠该面板。
-
搜索功能帮助您高效定位特定警报。
-
根据精确时间范围筛选告警,便于聚焦分析。
-
下拉菜单支持按多种标准对告警分组,包括时间、严重程度、传感器、事件ID、节点、告警名称或杀伤链阶段。每个告警分组会显示所涉及资源的总数。
-
要查看攻击的时间演变过程,请按时间线分组告警并逐一查看。
-
通过按告警名称分组,您可将相同告警合并为单个活动面板条目,轻松识别事件中所有独特检测项。
-
按事件ID分组告警,可更直观显示哪些告警属于其他关联事件。
-
-
点击分组名称可高亮显示包含该组告警的所有节点和转移线。每条转移线将根据其包含的最严重告警显示对应颜色。
图形动画将展示攻击如何在您的环境中展开,包括横向移动跨越实体、数据渗出等行为。
-
点击后,每个告警会展开显示详细信息:包括名称、事件描述,以及严重程度、检测传感器、时间戳、杀伤链位置、受影响端点、涉及资源数量和IP等信息。
选中告警时会高亮显示其所在的节点和转移线。
-
若同一告警在多个端点被检测到,可通过展开侧边面板查看端点列表进行深入调查。
-
若该告警也属于某个端点事件,可在新浏览器标签页中打开进行深入调查。
-
如需查看此告警的更多信息,请点击 查看更多详情 展开其详情面板。
-
2. 图形面板
该图形包含以下元素:
初始访问表示攻击者与您环境的首次接触。
出口点表示数据渗出及命令与控制事件。
搜索节点栏提供以下功能:
-
按名称搜索节点
-
隐藏警报标签
图例 显示当前分析的扩展事件中关联的元素类型。您可在搜索栏中输入事件组件的名称或文件扩展名,结果将显示在侧边面板中。
导航器 让您通过缩略图和不同可视化层级快速浏览事件图谱中的所有元素。
点击并按住
拖动
图标,可将浮动导航面板置于事件图谱任意位置。
导航器 默认处于折叠状态。展开时将显示完整事件图谱的微型版本,以及调节可视化级别的操作按钮。
组织事件警报
通过 警报 页面可查看事件序列如何触发当前调查的事件。该窗口显示由 GravityZone 技术(如 EDR 、网络攻击防护、异常检测、高级反漏洞利用、Windows反恶意软件扫描接口(AMSI))检测到的关联系统事件与警报。
每个复杂事件均包含详细说明,根据最新MITRE技战术解释检测内容及恶意使用该工件可能造成的后果。
每条警报均详细描述所用ATT&CK技术、在杀伤链中的位置及其对组织的影响。
可通过以下选项筛选警报:
-
使用 所有传感器 通过下拉菜单启用所有传感器或单个传感器的警报。
-
使用 所有杀伤链阶段 下拉菜单可启用特定杀伤链阶段(从所有杀伤链阶段中)的警报。
-
使用 搜索 字段按名称或文件扩展名搜索警报。
组织事件响应
该 响应 页面可让您立即采取措施消除或最小化环境中发现的威胁,这些威胁显示在您正在调查的扩展事件中。
所有操作以动态网格形式呈现,支持按操作类型、操作状态、执行日期和时间等多种筛选排序选项。
该 响应 页面提供默认智能视图,可用于访问需立即关注的操作、已执行的操作或已驳回的操作。
-
选择 需执行操作 视图以执行保护环境的紧急操作。
-
可单独执行每项任务,或从网格中全选进行批量执行。
-
要单独执行任务,可从网格中选择并点击 执行 按钮,或通过菜单点击 执行 .
-
要批量执行操作,请从网格中选择多个或全部操作并点击 执行 .
执行操作后,其状态将经历以下阶段: 需执行操作 > 待处理 > 进行中 .
-
若系统可完成该操作,其状态将变更为 成功 ,且已执行的操作会被移至 已执行操作 视图供查阅。
-
若系统无法完成该操作,其状态将变更为 失败 且该操作将保留在 待处理操作 视图中,直至您成功执行为止。
-
-
若无需执行某操作,可通过 管理 菜单或操作卡片菜单进行处理。
-
对于因通过其他方式完成而不再需要的操作,请使用 标记完成 选项。此类操作将被移至 已执行操作 视图。
-
使用 忽略 选项可移除无用操作,这些操作将被移至 已忽略操作 视图。
您可将任何已忽略或标记完成的操作恢复至先前状态。
-
重要提示
具有 需外部操作 状态无法从 响应 页面自动执行,需手动操作。之后可根据处理方式标记为已完成或忽略。
响应操作
您可在 响应页面 > 需操作视图 中采取以下分类的操作以最小化或消除环境中的威胁:
-
隔离主机 - 隔离环境中的终端以遏制潜在恶意活动(如 横向移动 )向其他工作站扩散。隔离后终端仅能与 GravityZone .
-
冻结用户 - 锁定用户账户。此操作适用于来自Microsoft O65、Active Directory或Azure AD等多源事件涉及的所有用户类型。
-
强制凭证重置 - 要求指定用户在下次登录时更改账户密码。
-
标记用户为已泄露 - 将用户添加至Azure AD > 安全中的 高风险用户 报告。
-
停用AWS账户 - 创建并应用策略以停用AWS用户账户并删除关联访问密钥。此操作适用于已激活 AWS传感器(单账户环境配置) .
-
删除邮件 - 删除可疑邮件以防止恶意负载在组织内传播和执行。
-
删除文件 - 从Office 365环境中移除恶意或不需要的文件,以提高事件调查效率。
状态栏
状态栏提供安全事件标签,可帮助您检测正在分析的扩展事件的关键信息。
-
事件ID - 正在调查的事件编号。
-
状态 - 事件的状态。
-
分配对象 - 事件被分配给的用户。
-
优先级 - 每个事件的优先级。
-
备注 - 此按钮提供分析员备注列表。
-
历史记录 - 此按钮提供事件的历史记录。
提示
点击 返回 按钮将返回至 事件 页面。
笔记剪贴板
该 笔记 剪贴板提供了一种便捷方式,可为事件添加注释以跟踪变更和事件归属。
显示笔记
要显示可用笔记列表,请点击 笔记 状态栏右侧的按钮:
注意
每条笔记旁将显示其创建者的用户名。若用户属于合作伙伴公司,则会显示
合作伙伴
名称。
添加笔记
要添加笔记,请按以下步骤操作:
-
点击 添加笔记 剪贴板左下角的按钮。
-
填写笔记信息。
注意
每条笔记最多可包含50,000个字符。
-
选择 保存 .
注意
批量操作时,将为所有事件批量添加一条笔记。
编辑笔记
要编辑笔记,请按以下步骤操作:
-
选择 菜单 按钮(位于待编辑注释右侧)。
-
点击 编辑 .
-
进行必要修改:
注意
每条注释最多可包含50,000个字符。
-
点击 保存 .
注意
若需取消编辑,请点击 取消 后选择 放弃 .
删除注释
删除注释步骤如下:
-
选择 菜单 按钮(位于待删除注释右侧)。
-
点击 删除 .
注意
此功能仅适用于您自己创建的注释。
-
点击 删除 再次。
历史剪贴板
该 历史 面板提供了一种简便的方式来跟踪事件的历史记录。系统会追踪以下事件:
-
状态变更
-
分配或重新分配事件
-
事件优先级设置或变更
-
事件备注添加、编辑或删除
-
创建事件
-
更新事件
列表按时间顺序显示,最新的在底部,最旧的在顶部:
每个事件将包含以下信息:
-
事件类型
-
事件描述
-
事件发生的日期和时间
备注
-
该 创建 事件还会显示事件的 严重性评分 。而 更新 事件则会显示事件的新 严重性评分 ,使安全分析师能够发现事件严重性的增加,这可能表明组织风险更高。
-
某些事件,如 分配 , 状态变更 ,且 优先级变更 ,同时包含执行操作的用户详细信息。
XDR 演示模式
该 XDR 演示模式功能通过多传感器模拟场景,展示 XDR 功能的特性。
启用此功能需点击 显示演示事件 按钮,位于 事件 页面右上角:
启用后,将生成以下实体和信息:
-
一个 XDR 父事件包含#DEMO标签,展示集成Azure AD的场景。
-
多个 EDR 事件会出现在父 关联事件 列的 XDR 事件中。
-
原始事件、警报及xalerts。可通过
alert.incident_number:Demo结合其他搜索参数在 搜索 页面。提示
使用
AND组合多个搜索参数时。示例 - 在DEMO模式下显示所有警报类型事件:
重要提示
确保在查询末尾使用demo参数。
other.event_type: alert AND alert.incident_number: DEMO
-
与事件相关的事件和警报。您可以通过点击 事件操作 按钮并选择 查看事件和警报 .
您可以通过点击 隐藏演示事件 按钮来隐藏演示,该按钮位于 事件 页面的右上角。
提示
-
筛选器部分保持不变。
-
在 更改状态 选项中,来自 事件 页面的网格不适用于演示事件。点击按钮不会更改事件状态。
查看#DEMO事件详情
要显示任何特定事件的附加信息,请使用以下方法之一:
-
显示 事件详情面板 对于 XDR 事件:点击属于#DEMO事件的整行(除 ID , 资源 , 实体 及 关联事件 列之外):
-
显示 事件详情面板 对于 EDR 事件:点击 关联事件 列下的ID。
-
显示 事件概览 :点击ID列下的ID。事件信息以富卡片形式列出,提供每个事件的概览,信息基于所选筛选条件。
-
复制事件链接:将光标悬停在ID列右侧,点击出现的 复制 按钮。
查看演示事件详情时,可像其他事件一样查看概览、图谱和响应操作,但无法执行任何操作。
安全分析师可通过更改状态、调整优先级、分配事件和添加备注操作模拟事件调查流程。所有变更可在 事件历史 选项卡查看,且仅在当前查看期间保存。
调查终端事件
该 终端事件 选项卡显示在终端层面检测到的所有可疑事件,这些事件需要调查且尚未采取任何措施。
-
在 终端事件 选项卡中,从事件网格中识别您要分析的安全事件。
-
使用 查看图谱 按钮在事件卡片中打开 事件图谱 在新页面,或
-
选择安全事件卡片以打开其详情面板,快速查看该事件最重要的攻击指标。
打开事件图谱后,您可以看到导致触发事件的事件序列,并提供采取补救措施的选项。
默认情况下,图谱会高亮显示事件的 关键路径 以及触发事件的事件。
-
-
开始分析触发节点详情面板中显示的信息,以找出事件的根本原因。
在面板中,您可以找到有价值的信息,如触发节点上检测到的警报、事件的日期和时间,以及攻击者执行的命令行。
-
如果情况允许,选择 添加到沙箱 按钮以引爆可疑或恶意元素,并查看沙箱报告以评估它们可能对您的环境造成的损害。
提示
为确保您没有遗漏任何内容,请调查与触发节点同级别的事件节点。
-
您可以继续分析构成关键路径的其他元素,直到清晰了解事件成因。
-
若威胁属实,请采取适当措施进行缓解。更多可用操作详见 节点详情 .
-
若威胁不属实,可前往图表顶部的 状态 菜单,将事件状态设为 误报 ,并开始调查列表中的下一个事件。
注意
您可使用 备注 剪贴板记录事件分析见解,为其他用户重新打开该事件时提供背景信息。
-
-
需要进一步调查时,请转至 事件 选项卡查看作为调查中事件组成部分的所有原始事件和警报。
关系图
该 关系图 以交互式图形呈现被调查事件及其上下文,突出显示直接触发事件的元素序列(即事件的 关键路径 ),其余相关元素默认以淡化形式显示。
关系图包含筛选选项可自定义事件图形以优化可视化效果,并设有详细信息面板展示各元素详情,便于调查环境中发生的情况。
关键路径
该 关键路径 是指从网络入口点开始,直至触发警报的事件节点之间,一系列相互关联的安全事件链。
事件的关键路径默认会在图中高亮显示,包含所有相关事件节点。 触发节点 在图中与其他元素明显区分,其信息面板默认与事件图谱并排显示,提供详细的触发节点信息。
-
触发节点
-
节点详情面板(含可折叠信息区块)
-
最小化节点(与事件间接相关)
提示
选择触发节点外的其他元素时,将停止高亮关键路径,转而显示从所选节点到事件起点的溯源路径。
安全事件节点
关于安全事件节点需知要点:
-
每个节点代表调查事件中涉及的特定要素。
-
打开事件时,构成关键路径的所有节点默认详细显示,其余元素会淡化处理以避免视图混乱。
-
悬停非关键路径节点时,将高亮该节点并显示其溯源路径,同时保持 关键路径 .
-
-
从父节点派生的三个及以上同类型动作事件节点,会被归入可展开的集群节点。
-
折叠集群节点时,仅无子元素的节点会从事件图谱中隐藏。
-
检测到可疑活动的节点不会被加入集群节点。
-
-
点击节点将显示以下详情:
-
蓝色高亮显示通往终端节点的路径及所有相关要素。
-
侧边面板含可展开区块,提供所选节点详情、触发检测时的警报、可用操作与建议。
-
-
节点通过箭头线连接,箭头线标注动作名称及时序编号,表示事件期间终端发生的动作流程。
以下事件要素可表示为节点:
|
节点类型 |
描述 |
|---|---|
|
终端 |
显示终端详情与补丁管理状态。 |
|
域名 |
显示域主机及其终端节点的相关信息。 |
|
进程 |
展示当前事件中进程角色的详细信息,包括文件信息、进程执行详情、网络存在状态及进一步调查选项。 |
|
文件 |
展示当前事件中文件角色的详细信息,包括文件信息、网络存在状态及进一步调查选项。 |
|
注册表 |
显示注册表信息及父进程详情。 |
注意
了解更多节点详情 此处 .
过滤器
该 过滤器 菜单提供增强的筛选功能,可基于元素类型或相关性高亮显示,或隐藏元素以使事件图更紧凑、便于分析,从而实现对事件图形的全面操控。
点击并按住
拖拽
图标可将浮动筛选面板定位到事件图中的任意位置。
当选择元素类型过滤器时:
-
事件图将缩小并高亮显示所选类型的所有元素,同时淡化其他类型的元素。
-
立即打开一个面板,其中列出所有高亮元素。
注意
从显示列表中选择元素将在事件图中高亮该元素,并打开包含该元素相关信息的详情面板。
每次仅能应用一个过滤器。
筛选选项包括:
-
关键路径 :高亮显示入侵事件的关键路径。
-
终端 :高亮显示受事件影响的终端节点。
-
进程 :高亮显示事件涉及的所有进程类型节点。
-
文件 :高亮显示事件涉及的文件类型节点。
-
域名 :高亮显示事件涉及的所有域名类型节点。
-
注册表 :高亮显示事件涉及的所有注册表类型节点。
-
元素关联性 :您还可以根据元素在事件中的重要性进行筛选。
-
中性节点
:对安全事件无直接影响的元素。
-
重要节点
:在安全事件中起关键作用的元素。
-
源节点
:安全事件在网络中的初始爆发点。
-
可疑节点
:具有可疑行为并直接参与安全事件的元素。
-
恶意节点
:对网络造成破坏的元素。
-
您还可以通过点击 显示/隐藏 按钮来隐藏事件图中的特定元素,该按钮在悬停于文件、域名和注册表类型筛选器时显示。
隐藏某类元素会重新绘制事件图,移除所有对应元素(即使已缩小显示),但触发节点和含有子元素的节点除外。
导航器
该 导航器 让您能通过缩略图和不同可视化层级快速浏览事件图及所有显示元素。该 导航器 默认处于折叠状态。展开时,菜单将显示整个事件图的微型版本,以及用于调整可视化层级的操作按钮。
点击并拖拽
拖动
图标可将浮动导航面板定位到事件图中的任意位置。
导航器
通过使用
较少细节
和
更多细节
操作,可轻松调整事件图的可视化方式。
注意
当事件图超出屏幕范围时,按住并拖动地图选择器至目标事件图区域。
节点详情
节点详情 面板包含可展开的栏目,提供所选节点的详细信息,包括可采取的预防或补救措施、检测类型详情、节点上触发的告警、网络存在情况、进程执行细节、管理安全事件的附加建议,或进一步调查该元素的操作。
要查看此信息并在面板内执行操作,请在安全事件图中选择一个节点。
-
点击 节点详情 面板上的 折叠 按钮可收起该面板。
-
通过点击四大主要栏目的图标,可轻松浏览 节点详情 面板中显示的信息:
-
告警 本栏目显示所选节点触发的一项或多项检测,包括将元素纳入事件的Bitdefender技术详情、触发检测的原因、检测名称及检测日期。
-
调查 本栏目显示首次检测的时间戳及发现该元素的所有终端。
此外,对于进程和网络节点,本栏目提供一个按钮,可直达Live Search界面,其中已预填根据事件上下文定制的查询语句供直接执行。
针对EDR进程节点,点击 Live Search中的相关进程 以搜索所有关联的进程实例。
对于网络节点,点击 Live Search中的相关连接 以检查受影响端点发起的所有网络连接。
-
修复措施 本部分显示由 GravityZone 自动采取的措施、您可立即执行的威胁缓解操作,以及针对所选节点检测到的每个警报的详细建议,帮助您处理事件并提升环境安全等级。
-
信息 本部分显示每个文件的通用信息,以及根据所选节点类型显示的特定信息。
-
-
您可以将 节点详情 面板拖拽至屏幕中央以便浏览内容。
该 端点 详情面板包含两个部分:
-
修复措施 显示GravityZone自动执行的威胁缓解措施及您可采取的操作。 GravityZone 自动执行的威胁缓解措施及您可采取的操作。
注意
可执行的操作范围可能因当前订阅计划包含的许可证类型而异。
-
设备信息 显示受影响端点的常规信息,如端点名称、IP地址、操作系统、所属组、状态、生效策略,以及可打开新窗口查看完整端点详情的链接。
同时提供已安装补丁数量、失败补丁、缺失的安全与非安全补丁等信息。此外,您可生成端点补丁状态报告。此部分按需为目标端点提供。
您可在面板中执行以下操作:
-
查看目标端点的补丁信息。点击 刷新 按钮查看补丁详情。
-
查看目标端点的补丁状态报告。点击 查看端点补丁状态报告 按钮生成报告。
-
进程节点详情面板包含四个部分:
-
警报 显示所选节点触发的一项或多项检测,包括将该实体纳入事件的 Bitdefender 技术详情、触发检测的原因、检测名称及检测日期。每条警报描述均遵循最新MITRE标准。
-
调查 显示首次检测的时间戳及发现该威胁的所有端点。
点击 端点 字段,将弹出新窗口。
该部分还通过内部组件和第三方解决方案提供外部分析。
可执行以下操作:
-
添加到沙箱 - 使用此操作生成沙箱分析报告。
选择 添加到沙箱 将弹出确认文件提交的界面。
确认后,系统将自动跳转至提交界面。
分析完成后,点击 查看沙箱分析报告 按钮可打开完整报告。
-
VirusTotal - 使用此操作可提交文件至外部进行分析。
-
Google - 使用此操作可在线搜索文件哈希值。
-
-
修复措施 显示由 GravityZone 自动执行的威胁缓解措施及可采取的操作。
注意
可执行的操作范围可能因当前订阅计划包含的许可证类型而异。
-
终止进程 - 使用此操作可停止进程执行。该操作会在进程执行栏生成可见的终止进程任务。
System32和 Bitdefender 进程不受此操作影响。 -
隔离文件 - 使用此操作可隔离目标文件并阻止其执行有效载荷。此操作需在目标终端安装防火墙模块。
-
将文件添加到阻止列表 - 在 阻止列表 页面管理被阻止的项目。
-
将文件添加为例外 - 使用此选项可在特定策略中排除合法活动。选择此操作时,配置窗口会提示您选择要添加例外的策略。在 策略 > 反恶意软件 > 设置 .
-
本节还针对选定节点上检测到的每个警报提供详细建议,以协助您处置事件并提升环境安全等级。
-
-
进程信息 显示选定进程节点的详细信息,包括进程名称、执行的命令行、用户、执行时间、文件来源与路径、哈希值或数字签名。
在本节中,您可通过点击 哈希 字段中的可用哈希算法将项目哈希值复制到剪贴板,并将其添加至 阻止列表 .
注意
更多信息请参阅 文件阻止列表 .
该 文件 节点详情面板包含四个部分:
-
警报 显示选定节点触发的一项或多项检测,包括将该实体纳入事件的 Bitdefender 技术详情、触发检测的原因、检测名称及检测日期。每个警报描述均遵循最新MITRE标准。针对选定节点检测到的每个警报均提供详细建议,协助您处置事件并提升环境安全等级。
-
调查 显示首次检测时间戳及发现该元素的所有终端。
要查看此列表,请点击 终端 字段中显示的数字,系统将弹出新窗口。
本节还通过内部组件和第三方解决方案提供外部分析。
可执行以下操作:
-
添加至沙箱 - 使用此操作生成沙箱分析报告。
选择 添加到沙箱 会弹出确认文件提交的界面。
确认后,系统将自动跳转至提交界面。
分析完成后,点击 查看沙箱分析报告 按钮即可打开完整报告。
-
VirusTotal - 使用此操作可提交文件至外部进行分析。
-
Google - 使用此操作可在线搜索文件的哈希值。
-
-
修复措施 显示由 GravityZone 自动执行的威胁缓解措施及您可采取的操作。
注意
可执行的操作范围可能因当前订阅计划包含的许可证类型而异。
-
隔离文件 - 使用此操作可隔离目标文件并阻止其执行负载。此操作需在目标终端安装防火墙模块。
-
将文件添加至阻止列表 - 在 阻止列表 页面管理被阻止项。
-
添加文件为例外 - 使用此选项可在特定策略中排除合法活动。选择此操作时,配置窗口将提示您选择需添加例外的策略。在 策略 > 反恶意软件 > 设置 .
-
-
文件信息 显示所选文件节点的详细信息,包括文件来源、路径、哈希值及数字签名。
在此区域,您可通过点击 哈希值 字段中的算法将项目哈希值复制到剪贴板,并将其添加至 阻止列表 .
注
更多信息,请参阅 文件阻止列表 .
该 注册表 节点详情面板包含三个部分:
-
警报 显示由 Bitdefender 技术标记的注册表操作严重性(该技术将此实体纳入事件)、触发检测的原因、检测日期及注册表类型。
-
修复 显示 GravityZone .
注意
注册表节点的 修复 部分不提供任何用户操作选项。
-
注册表信息 显示所选注册表节点的详细信息,包括注册表键、键值及数据。
可点击注册表键或键值将其复制到剪贴板以便进一步分析。
搜索栏
该 搜索栏 具有两项功能:
-
搜索节点 。点击后
搜索栏将展开,可输入信息并在图中搜索特定节点。
-
事件触发器 。直接链接到触发警报的节点。
事件
使用 事件 选项卡可查看事件序列如何演变为触发当前调查的事件。此窗口显示由 GravityZone 技术(如EDR、网络攻击防护、异常检测、高级反漏洞利用或Windows反恶意软件扫描接口(AMSI))检测到的相关系统事件和警报。
注意
检测过程中涉及的技术可用性可能因当前计划包含的许可证而异。
每个事件都有详细描述,根据最新的MITRE技术和战术,解释检测到的内容以及如果该工件被用于恶意目的可能发生的情况。
使用筛选选项显示所有事件,或按Att&ck战术分组。您还可以在预定义事件类别后使用搜索栏查找事件。网格中填充了排序后的事件。
选择网格中的任何事件以打开其侧面板并分析主要攻击指标,如命令行、网络详细信息或其他特定信息。
EDR响应
该 响应 页面提供默认的智能视图,可用于访问需要立即关注的操作、显示具有特定状态(如进行中、已完成或已驳回)的操作的页面,或与特定事件关联的所有响应列表。
所有操作均以动态网格形式提供,具有多种筛选和排序选项,如按操作类型、对象、目标、状态等筛选。
提供多列,包含以下信息:
-
类型 - 正在采取的操作类型。可能的值:
-
遏制 -
缓解 -
加固
-
-
操作 - 正在采取的操作名称。
-
对象 - 正在对其执行操作的实体或资源的名称。
注意
如果对象是终端,则名称是可点击的链接,将打开 终端详细信息 面板。
-
目标 - 执行操作所针对的实体类型。可能取值包括:
-
终端 -
文件 -
进程 -
注册表
-
-
详细信息 - 提供与所执行操作相关的附加信息。
-
执行时间 - 操作触发的日期。若操作是自动化响应结果,则显示终端上报该操作的日期。
-
执行者 - 标识执行操作的人员。
-
来源 - 标识操作的发起位置。
事件信息
该面板包含可折叠区域,其中显示事件ID、当前状态、事件创建与最后更新时间、涉及构件数量、触发器名称及描述、攻击信息等详细信息。
提示
通过本区域可访问扩展事件视图,其中可能包含当前终端事件。
面板还包含触发事件的元素上检测到的警报信息。
事件状态栏
事件状态栏提供安全事件标签,可帮助识别所涉网络终端的关键信息。
笔记剪贴板
该 笔记 剪贴板提供了一种简便方式,可为事件添加注释以跟踪变更和事件所有权。
显示笔记
要显示可用笔记列表,请点击 笔记 状态栏右侧的按钮:
注意
每条笔记旁将显示其创建者的用户名。若用户属于合作公司,则显示
合作伙伴
名称。
添加笔记
添加笔记需按以下步骤操作:
-
点击 添加笔记 剪贴板左下角的按钮。
-
填写笔记信息。
注意
每条笔记最多可包含50,000个字符。
-
选择 保存 .
注意
批量操作时,将为所有事件批量添加单条笔记。
编辑笔记
编辑笔记需按以下步骤操作:
-
选择 菜单 点击您想编辑的笔记右侧的
-
选择 编辑 .
-
进行必要的修改:
注意
每条笔记最多可包含50,000个字符。
-
选择 保存 .
注意
若需取消编辑笔记,请点击 取消 ,然后选择 放弃 .
删除笔记
要删除笔记,请按以下步骤操作:
-
点击您想删除的笔记右侧的 菜单 按钮。
-
选择 删除 .
注意
此选项仅适用于您自己的笔记。
-
再次选择 删除 。
历史剪贴板
该 历史记录 面板提供了一种便捷的方式来追踪事件的历史记录。系统会跟踪以下事件:
-
状态变更
-
分配或重新分配事件
-
事件优先级设定或变更
-
事件备注添加、编辑或删除
-
创建事件
-
更新事件
列表按时间顺序显示,最新的在底部,最旧的在顶部:
每个事件将包含以下信息:
-
事件类型
-
事件描述
-
事件发生的日期和时间
注意
-
该 创建 事件还会显示事件的 严重性评分 。而 更新 事件则会显示事件新的 严重性评分 ,使安全分析师能够发现事件严重性的增加,这可能表明组织风险升高。
-
某些事件,例如 分配 , 状态变更 以及 优先级变更 ,同时包含执行该操作的用户详细信息。
远程连接
先决条件
要能在远程连接中启动终端会话至终端设备,请确保:
-
终端设备上安装的 Bitdefender 代理版本支持远程连接功能。
-
终端设备已开机并在线。
-
终端设备运行Windows操作系统。
-
GravityZone 可与终端设备正常通信。
-
您的 GravityZone 账户对目标终端设备拥有管理权限。
启动远程连接
要通过远程连接访问终端设备,请按以下步骤操作:
-
前往 事件 页面。
-
点击要调查的终端设备事件。
-
在其关系图中,点击需要连接的终端设备节点。
右侧将显示详细信息面板。
-
点击详细信息面板中的 远程连接 按钮。
随后将显示 远程连接 窗口。
-
点击 连接至主机 以启动远程连接,直接对当前事件涉及的终端进行调查并采取行动。
-
在终端中,您现在可以直接在终端的操作系统上运行多个自定义shell命令,用于即时清除威胁或收集数据以供进一步调查。
重要提示
该 远程连接 功能仅可从事件详情面板中使用,并提供对一组预定义命令的访问权限。请勿将其与 远程Shell 混淆,后者需要单独的许可证,允许执行任何系统级命令,并且还可以从 网络 资产清单中访问。
远程Shell
GravityZone 提供交互式shell功能,使您能够远程连接到调查事件涉及的终端,并打开远程shell会话以直接在终端的操作系统上运行shell命令,以即时缓解威胁或收集取证数据以供进一步分析。
此功能与以下操作系统兼容:
-
Windows
-
Linux
-
MacOS
重要提示
此功能需要单独的许可证密钥进行激活。
远程Shell会话先决条件
要启动远程shell会话,您必须满足以下条件:
-
贵公司拥有以下解决方案之一的活跃许可证:
-
一款 Bitdefender 产品,包含 EDR 或 XDR ,以及 远程Shell 附加许可证
注意
有关包含 EDR 或 XDR 的产品更多信息,请访问 产品功能 .
-
Bitdefender MDR 或 Bitdefender MDR Plus
注意
如果公司未持有这些必要许可证,可改用 远程连接 功能。
-
-
为确保 GravityZone 控制中心 与终端间的安全通信,公司网络防火墙需允许流量访问DigiCert服务器。
重要提示
-
可能需要配置防火墙规则以允许必要通信。需加入白名单的网址示例:
-
http://crl3.digicert.com -
http://crl4.digicert.com -
http://ocsp.digicert.com
-
-
需允许网络访问DigiCert服务器,以自动下载用于验证 GravityZone 服务器证书的吊销列表。
-
无需提供任何自定义证书,终端将自动使用DigiCert签发的证书。
-
-
若贵公司采用中间人攻击(MITM)解决方案对流量进行解密或在终端与 GravityZone 之间实施证书固定,则需允许通过443端口对以下 Bitdefender 云服务器进行出站访问:
-
cloud-wbs-endpoints.gravityzone.bitdefender.com -
cloudap-wbs-endpoints.gravityzone.bitdefender.com -
cloudgz-wbs-endpoints.gravityzone.bitdefender.com
-
-
您的账户已启用 管理网络 及 高级调查 权限。详情请参阅 用户权限 .
-
若使用 GravityZone 凭证登录,则已启用 双因素认证(2FA) 。
注意
若通过 第三方单点登录(SSO)集成 登录,则无需2FA即可使用该功能。
-
贵公司符合以下条件:
-
公司类型 :客户
-
公司管理模式 :非合作伙伴管理
重要提示
-
若公司采用自上而下的管理方式,则 与终端的远程Shell连接 选项将不会出现在 部分中。
-
若公司为MDR入驻客户,则此要求不适用。
-
-
-
与终端的远程Shell连接 需通过目标终端的策略设置在 中启用。更多详情请参阅 通信 .
重要提示
-
若贵司为MDR入驻客户,则此要求不适用。
-
在目标终端上启用 远程Shell 模块可能需要数分钟时间。
-
启用该模块会触发终端安全代理的重新配置。此重新配置将启动代理更新,使其升级至最新可用版本或按照 常规 > 代理 > 更新 > 更新环 .
-
-
目标终端已开机并在线。
注意
该 远程Shell连接 页面可查看终端详情,包括当前 在线 或 离线 状态。
-
目标终端的策略未将
powershell.exe添加到 网络保护 > 内容控制 > 应用程序黑名单 列表中。
远程Shell会话限制
远程Shell会话存在以下操作限制:
-
同一用户在同一目标终端上仅能有一个活跃会话。
-
同一用户可同时在五个不同终端上保持活跃会话。
-
同一目标终端最多允许五个不同用户同时连接。
-
若浏览器标签页失去焦点超过10分钟,活跃会话将自动终止。
启动远程Shell会话
要在终端上打开远程Shell会话,请按照以下步骤操作:
-
在 事件 页面中,选择要调查的事件并进入 图谱 视图。
-
在事件图谱中,选择终端节点以展开 终端详情面板 并点击 远程Shell 按钮。
注意
若按钮不可用,将显示工具提示说明操作不可用的原因。详情请参阅 远程Shell会话前提条件 .
点击 远程Shell 按钮将在新浏览器标签页中打开 远程Shell连接 页面。
-
若启用了双因素认证(2FA),请按以下步骤启动远程会话:
-
输入身份验证器应用生成的2FA代码以激活 开始会话 按钮。
-
激活后,点击 开始会话 按钮在目标终端上启动远程Shell会话。
-
-
若未启用双因素认证(2FA),请按以下步骤启动远程会话:
-
点击 启动会话 .
您将被重定向至组织的登录页面。
-
输入您的域用户名和密码。
您将被重定向至 GravityZone 平台,远程会话将自动开始。
-
连接建立后,您将以具有root权限的用户身份登录,可执行多种取证操作及方法来调查可疑行为或缓解威胁。
所有会话日志均被记录,完整输出内容可在会话结束时下载。
注意
若远程Shell会话意外终止,请参阅 XDR 远程Shell故障排除 了解可能原因。
文件上传
此功能用于向其他终端远程上传文件。为确保数据安全,文件在传输、存储及使用过程中均被加密。单次最多可上传20个文件,总大小不超过256 MB。
通过远程Shell功能上传文件的步骤如下:
-
启动远程Shell会话。
-
在 远程Shell连接 窗口中点击 上传 .
该操作将打开 文件上传 页面。
-
在 目标文件路径 字段中输入文件将存储的本地文件夹路径。该路径必须是目标终端上的有效路径,且确保您具有访问该文件夹的必要权限。
注意
远程Shell功能不支持共享网络驱动器的文件路径。
-
要选择需上传的文件,请点击 浏览 ,定位至目标文件后点击 打开 .
-
点击 上传 .
请等待 上传已开始。请勿结束远程会话 的提示信息消失,随后可关闭页面。
文件下载
此功能用于从其他终端远程下载文件。为确保数据安全,文件在传输、存储及使用过程中均会加密。
可下载单个文件,或选择文件夹下载其全部内容。总下载大小不得超过256 MB。
通过远程Shell功能下载文件的步骤如下:
-
启动远程Shell会话。
-
在 远程Shell连接 窗口中点击 下载 .
此操作将打开 文件下载 页面。
-
在 下载来源 字段中输入待下载文件或文件夹的路径。若选择文件夹,其所有内容将被打包成压缩文件后下载。
注意
远程Shell功能不支持共享网络驱动器的文件路径。
-
可选地,您可以通过启用 对文件归档进行密码保护 选项来用密码保护文件归档。
在提供的字段中输入所需密码。
-
点击 下载 .
-
您可以通过两种不同方式获取文件:
-
等待文件下载完成。在收到下载成功通知前,请勿关闭 下载文件 页面。下载完成后,您将在窗口右下角收到通知。
点击 下载 以获取归档文件。
-
或者,您可以关闭 下载文件 页面,并从网络清单中获取归档文件。该文件会在 调查文件活动 网格中保留24小时,之后将自动从 Bitdefender 的临时存储中删除。更多信息请参阅下文。
注意
您可能需要第三方软件来打开归档并提取文件。
请注意,对于Linux终端,下载的归档文件会使用GPG工具进行对称加密。
-
从网络清单中检索已下载文件
要检索通过远程Shell功能下载的文件,请按以下步骤操作:
-
登录 GravityZone 控制中心 .
-
前往 网络 页面(通过左侧菜单),点击包含您下载文件的托管终端。
-
进入 调查 选项卡。
在 调查文件活动 表格中查看您的请求状态及过去24小时内执行的其他数据收集活动。
您可以取消处于 待处理 状态的下载请求。因各种原因被取消或未能完成的请求状态将显示为 失败 .
当下载过程成功完成后,操作状态将变为 已完成 ,此时可下载包含收集文件的归档包。
-
点击 下载文件 (位于 操作 列)将归档包下载至本地。
注意
您可能需要第三方软件来打开归档包并提取文件。
结束远程Shell会话
调查完成后,点击 结束会话 按钮关闭远程连接,或直接关闭会话的浏览器标签页。
注意
若远程Shell会话意外终止,请参阅 XDR 远程Shell故障排除 以了解可能的原因。
结束当前会话后,您可以点击 下载审计日志 按钮获取刚结束的远程Shell会话日志,或启动新的远程会话。
-
当您点击 下载审计日志 , GravityZone 将开始编译包含所有会话日志的 zip 文件。此操作可能需要几分钟完成,具体取决于归档文件大小。所有会话详情也可在 用户活动日志 .
注意
会话日志默认以原始格式保存。为便于阅读,请解压文件并使用以下工具之一:
-
对于Windows OS终端的日志,请在PowerShell中运行此命令:
Get-Content<文件路径>-Wait(使用日志文件的路径和名称)示例:
Get-Content"C:\Users\Documents\sessionLogs.txt"-Wait -
对于Linux和macOS终端的日志,请在终端中运行此命令:
less<文件路径>(使用日志文件的路径和名称)示例:
less/home/user/sessionLogs.txt
-
-
当您点击 启动新会话 时,需要重新完成身份验证步骤。
XDR 远程Shell故障排除
您的 远程Shell 会话可能因各种原因意外中断。大多数情况下,重启会话是最简单快捷的解决方法。若仍无法解决,请联系我们的 客户支持团队 ,他们将乐意为您提供与Bitdefender GravityZone 平台相关的所有协助。
以下是远程Shell可能显示的错误信息、可能原因及解决措施:
取证数据收集
从受事件影响的终端收集额外信息是一项劳动密集型的体力工作,通常会干扰SOC团队的调查工作,并导致威胁缓解和遏制的延迟。 收集调查包 功能通过绕开直接与涉事终端交互的需求,加速了从 您的环境中 收集取证证据的过程。
此功能兼容以下操作系统:
-
Windows
-
Linux
-
Mac
调查包先决条件
要从终端开始收集取证数据,需满足以下条件:
-
贵公司必须持有有效的 EDR或XDR许可证 .
-
该 GravityZone 用户账户需启用 管理网络 权限。更多详情请参阅 用户权限 .
-
使用GravityZone凭证登录的用户需启用 双因素认证(2FA) 。通过 第三方单点登录(SSO)集成 登录的用户无需2FA即可使用该功能。
-
目标终端必须处于开机且在线状态。
收集调查包
您可根据任务需求采用不同方式收集调查包:既可选择属于 XDR 事件组成部分的终端,也可从网络资产清单中选择受管终端。
-
在 事件 页面,从网格中选择需深入调查的扩展事件或终端事件,并打开 图谱 视图。
-
在 图谱 中,选中事件涉及的终端节点,点击 收集调查包 开始编译包含取证数据的存档。
注意
若按钮处于禁用状态,将显示工具提示说明操作不可用的原因。更多详情请参阅 调查包先决条件
系统将通过 toast 消息通知您数据收集请求已成功创建。
-
点击 查看可用调查文件 链接可访问端点详情页面并跟踪进度。
-
您可以查看当前收集进程(进行中活动的状态显示为 待处理 ),以及过去24小时内执行的其他数据收集活动。
注意
被用户取消或由于各种原因未能完成的收集活动,其状态将标记为 失败 .
当数据收集过程成功完成后,操作状态将变为 已完成 ,此时可下载包含取证工件的归档文件。
-
点击 下载文件 (位于 操作 列)可将归档文件下载至本地并分析收集的数据。
注意
有关调查包收集数据类型详情,请参阅 调查包数据 .
-
在 网络 页面,选择需要收集取证数据的托管端点并打开其详情页。
-
前往 调查 标签页,点击 收集调查包 开始编译包含取证数据的存档。
注意
若按钮未激活,将显示工具提示说明操作不可用的原因。详情请参阅 调查包先决条件
系统将通过提示消息通知您数据收集请求已成功创建。
您可以在 调查文件活动 网格中跟踪进度。
-
您可以查看当前收集进程(进行中活动的状态显示为 待处理 ),以及过去24小时内执行的其他数据收集活动。
注意
被用户取消或由于各种原因未能完成的收集活动状态标记为 失败 .
当数据收集过程成功完成后,操作状态将变为 已完成 ,且包含所收集取证工件的存档可供下载。
-
点击 下载文件 (位于 操作 列)即可将存档下载至本地并分析收集的数据。
注意
要了解调查包中收集的数据类型详情,请参阅 调查包数据 .
搜索安全事件
历史搜索
概述
在 搜索 > 历史 标签页中,您可以通过复杂的搜索条件查找过去的安全事件。您可以选择 GravityZone 处理的事件,路径为 配置 > 原始事件 .
该标签页包含以下主要区域:
-
查询编辑器:在此处可使用建议字段和 XDR 查询语言 页面提供的规则构建查询。
-
筛选器 部分:可在此指定显示事件的时间范围。
-
清除 按钮:删除查询编辑器中的所有文本。
-
运行查询 按钮:执行查询编辑器中构建的查询。
-
可定制表格:显示查询结果。列宽可调整,顺序可重排。
注意
表格会保留会话间最后使用的智能视图。当您再次打开 历史 > 搜索 标签页时,先前结果将自动恢复。
-
视图选项 菜单: 该区域提供多种智能视图操作功能:
-
另存为 :将修改后的智能视图以新名称保存。
-
保存 :保存对已存储智能视图的更改。
-
放弃更改 :将智能视图恢复至上次保存版本。
-
添加到收藏夹 :将智能视图添加至 收藏夹 分类。
-
导出视图 :将查询结果表格导出为CSV文件。
-
隐藏筛选器 (或 显示筛选器 ):隐藏或显示时间范围筛选器。
-
打开设置 :显示 设置 面板。可通过该面板自定义视图中显示的列,并启用或禁用 紧凑视图 .
-
刷新数据 :刷新查询结果。
-
-
该 智能视图 面板:存储查询结果和自定义表格配置。视图分为四类,便于浏览和切换:
-
最近 :最近25条执行的查询
-
已保存 :所有已保存的智能视图
-
收藏 :所有已添加到收藏的智能视图
-
默认 :预定义查询,展示如何使用不同的 XDR 查询语言功能
提供六个默认智能视图:
-
所有事件
-
高严重性警报
-
未采取行动的警报
-
远程网络连接
-
高风险终端行为
-
演示模式
注意
演示模式 提供一组模拟事件,用于测试 历史搜索 功能,即使终端无可用数据。
-
面板顶部的搜索栏可用于按名称查找智能视图。
-
运行查询
要运行查询:
-
在查询编辑器中输入查询字符串。输入时会出现字段名、值和操作符的建议。
提示
-
要获取字段名建议,请打开 帮助工具 ,按 Ctrl + / .
-
要获取值建议,请打开 自动补全 ,按 Ctrl + 空格 .
-
如需了解可用字段或语法帮助,请使用 语法帮助 .
-
您可以使用嵌套查询构建复杂搜索。
-
-
使用 日期 筛选器设置时间范围:
-
点击筛选器。
-
指定搜索时间范围:
-
要定义特定日期范围,请选择 自定义 ,然后从日历中选择开始和结束日期。或者,您可以使用以下预定义间隔: 最近24小时 , 最近7天 , 最近30天 .
-
使用 开始时间 和 结束时间 选择器设置精确的起始和截止时分。
重要提示
原始事件与 EDR / XDR 警报的默认保留期不同:分别为0天和90天。您可以延长此期限。完整信息请参阅 保留策略 页面。
-
-
点击 应用 .
-
-
点击 运行查询 .
查询结果将显示在可自定义的表格中。
重要提示
GravityZone 控制中心 最多可显示10,000个事件。
若查询结果超过10,000条事件,将弹出提示消息,此时需优化搜索条件。
优化搜索
若初始查询返回结果过多,可优化搜索条件。您可手动在查询编辑器中添加信息,或使用事件详情面板。要通过面板优化搜索,请按以下步骤操作:
-
在结果表格中选择任意事件以打开详情面板。
-
在 表格 标签页中,点击
要添加到查询中的字段末尾的搜索图标。
-
选择所需的运算符。
字段-值对将被添加到查询编辑器中。
-
选择 运行查询 .
优化后的查询结果将显示在可自定义的表格中。
注意
事件详情面板还包含 JSON 标签页。该标签页仅针对 EDR 和 XDR 警报显示,通过以下键值对识别:
-
other.event_type:alert对应 EDR 警报 -
other.event_type:xalert对应 XDR 警报
其中包含与该特定警报相关的更多信息。您无法通过此标签页优化搜索,但可以点击 复制到剪贴板 复制所有数据。有关所有可用JSON字段的详细列表,请参阅 JSON字段 .
智能视图
该 历史搜索 功能支持将智能视图保存以供后续使用。
您还可以编辑、删除或重命名先前保存的智能视图。
保存新智能视图
要保存新的智能视图,请按以下步骤操作:
-
按照 ??? 章节描述的步骤运行所需查询。
-
可选:您可以通过重新排列和调整列宽,或打开 设置 面板配置列可见性来自定义结果表。
-
点击页面右上角的 另存为 按钮。
将显示以下对话框:
-
为您的智能视图输入名称。
-
点击 保存 .
您的智能视图将显示在 已保存 类别的 智能视图 面板中。
注意
该 另存为 功能包括表格自定义选项,例如列重排、调整大小以及在 设置 面板中定义的可见性设置。
编辑已保存的智能视图
要编辑已保存的智能视图,请按以下步骤操作:
-
从 已保存 或 收藏夹 部分选择智能视图,该部分位于 智能视图 面板中。
结果表格将会显示。
-
对智能视图进行必要的修改。您可以在查询编辑器中编辑查询,或通过例如重排列等方式自定义表格。
-
点击页面右上角的 保存 按钮。
重要提示
-
该 保存 功能包含表格自定义选项,例如列重排、调整大小以及在 设置 面板中定义的可见性设置。
-
最近和默认的智能视图为只读状态。要保留任何编辑内容,必须将其另存为新的智能视图。
删除已保存的智能视图
要删除已保存的智能视图,请按以下步骤操作:
-
在 智能视图 面板中,点击
要删除的智能视图旁边的垂直省略号。
-
选择 删除 .
将显示以下对话框:
-
点击 删除 以确认您的选择。
重要提示
仅可删除已保存和收藏的智能视图。
重命名已保存的智能视图
要重命名已保存的智能视图,请按以下步骤操作:
-
在 智能视图 面板中,点击
要重命名的智能视图旁边的垂直省略号。
-
选择 重命名 .
-
为您的智能视图输入新名称。
-
点击
勾选图标以确认操作。
重要提示
仅可重命名已保存和收藏的智能视图。
实时搜索
概述
通过实时搜索功能,您可以使用Osquery(一种采用SQLite查询语言的操作系统检测框架)直接从在线端点获取事件信息和系统统计数据。
先决条件
使用实时搜索前,请确保满足以下要求:
-
为实现 GravityZone 控制中心 与终端间的安全通信,需确保企业网络防火墙允许流量访问DigiCert服务器。
重要提示
-
可能需要配置防火墙规则以允许必要通信。需加入白名单的网址示例:
-
http://crl3.digicert.com -
http://crl4.digicert.com -
http://ocsp.digicert.com
-
-
必须允许网络访问DigiCert服务器,以便自动下载用于验证 GravityZone 服务器证书的吊销列表。
-
无需提供自定义证书,终端将自动使用DigiCert签发的证书。
-
-
若企业使用中间人攻击(MITM)解决方案解密流量或在终端与 GravityZone 间执行证书钉扎,需允许通过443端口访问以下 GravityZone 服务端点:
-
cloud-wbs-endpoints.gravityzone.bitdefender.com -
cloudap-wbs-endpoints.gravityzone.bitdefender.com -
cloudgz-wbs-endpoints.gravityzone.bitdefender.com
-
-
需在目标终端的策略中 实时搜索 模块下启用 实时搜索 功能。
重要说明
-
启用该模块将触发终端安全代理的重新配置。此过程会启动代理更新,将其升级至最新可用版本或策略中配置的指定版本。 常规 > 代理 > 更新 > 更新环 .
-
实时搜索只能通过设备类型策略启用,不能通过基于规则的策略启用。
-
-
目标终端运行64位操作系统。
-
目标终端受BEST保护,最低版本要求:
-
Windows:7.6.1.202
-
Linux:7.0.3-2085
-
macOS:7.8.16.200024
-
-
您需具备以下权限:
-
管理网络
-
高级调查
-
-
您拥有对公司内终端的访问权限。
使用实时搜索
您可以通过访问 事件 > 搜索 并选择 实时 选项卡来使用该功能。
该页面包含以下元素:
-
查询 面板,包括:
-
搜索 选项 - 可按标题进行搜索。
-
最近查询 - 显示最近执行的25条查询记录。
-
已保存 - 当前用户保存的所有查询列表。
-
预定义 - 默认提供给所有客户的查询列表。
-
精选 - 由安全分析师筛选的预定义查询集。
-
-
筛选器部分,包含:
-
公司 - 针对特定公司的终端执行查询。
-
操作系统 - 根据终端操作系统执行查询。
-
标签 - 根据终端的GravityZone标签执行查询。
-
终端名称 - 针对公司内特定终端执行查询。
-
-
保存 - 保存当前查询的修改。
-
另存为 - 用于创建新查询时使用。
-
放弃更改 - 将查询恢复至最后一次保存状态。当查询或筛选条件与保存状态不同时,此选项可用。
-
重置筛选器 - 撤销所有对筛选器的修改。当任一筛选值被更改时,此选项激活。
-
下载图标 - 用于将查询结果下载为.CSV文件。
-
信息图标 - 显示表格侧边面板。
-
清除 - 清空输入框内的所有文本
-
运行查询 - 执行当前选定的查询
-
查询文本 - 输入您的查询语句
-
查询结果 - 已执行查询的返回结果
-
调整大小 按钮 - 用于调整搜索区域尺寸
-
页码及每页显示条目数
-
刷新 按钮
-
元数据详情 - 提供查询运行成功级别的附加信息。该区域始终显示在底部,即使未返回任何结果
新建查询
您可以通过以下任一方式创建新查询:
-
通过输入查询指令
首次进入 实时 标签页时(登录 GravityZone 后),系统默认显示空白查询界面
-
输入查询指令
-
点击 保存 按钮(位于屏幕右上方)
-
输入新查询名称
-
点击 保存 .
该查询现已显示在 已保存查询 .
-
-
通过编辑现有查询
-
选择需要修改的查询。
-
更改分配给该查询的指令。
-
点击屏幕右上角的 另存为 按钮。
-
输入新查询的名称。
-
选择 保存 .
该查询现已显示在 已保存查询 .
-
运行查询
运行查询需遵循以下步骤:
-
在屏幕左侧的 已保存查询 .
-
选择 运行查询 .
根据查询复杂度和网络规模,可能需要数分钟返回所有结果。数据收集期间将显示 进行中 提示和计时器,且 运行查询 按钮在数据收集完成前处于禁用状态。
注意
查询结果将从每个端点收集,最长持续2分钟,超时后将停止收集更多结果。如果所有端点在超时前均返回有效数据,查询将提前完成。查询运行期间,“运行查询”按钮和“元数据”部分将不可用。
返回结果取决于您的查询条件:
仅自动显示首批结果。表格将每5秒自动检查新结果,直至查询运行完成。如需手动刷新结果,可使用“刷新”按钮。刷新结果表格时,元数据也会同步更新。
查询结果保留30分钟,超时后将被删除。查询说明与查询结果之间设有计时器。
注意
您可使用
屏幕右上角的按钮将查询结果下载为.CSV文件。
读取元数据详情
此部分默认折叠,包含以下数据:
-
状态 - 查询状态:
-
进行中 - 查询正在运行。
-
已完成 - 查询已结束。
-
不可用 - 未执行查询或结果已过期。
-
-
响应端 - 已响应查询的端点数量。
-
总端点 - 被查询的端点总数。
展开后将显示以下信息:
-
查询名称 - 元数据详情始终附带查询名称。
-
分配标签 按钮
-
筛选区包含:
-
状态 筛选器:
-
全部
-
超时
-
成功
-
错误
-
连接失败
-
-
已发送行数 筛选条件:
-
全部
-
无结果
-
结果可用
-
-
-
端点 - 端点名称。
-
查询执行时间 - 查询在该端点运行的时间(毫秒)。
-
可用行数 - 该端点的查询返回的总行数。
-
已发送行数 - 已包含在结果中的行数。
-
状态 - 该端点的查询状态。
-
错误信息 - 查询端点时返回的错误信息。
注意
元数据中列出的信息仅保留24小时。您可以使用
屏幕右上角的按钮将查询结果下载为.CSV文件。
编辑查询
编辑查询请按以下步骤操作:
-
选择需要修改的查询。
-
更改查询语法。
-
点击 保存 屏幕右上角的按钮。
注意
预定义查询不可修改。请使用 另存为 按钮创建新查询。
-
点击 保存 .
查询修改已保存。
删除查询
删除查询请按以下步骤操作:
-
在屏幕左侧的 已保存查询 .
-
点击要删除查询对应的垂直省略号按钮。
-
选择 删除 .
重命名查询
重命名查询请按以下步骤操作:
-
在屏幕左侧的 已保存查询 .
-
点击要重命名查询对应的垂直省略号按钮。
-
选择 重命名 .
-
输入查询的新名称。
-
点击 确定 按钮。
数据表面板
您可以通过“表格”侧边面板查看数据库架构并搜索可用表及字段。
该功能可通过查询文本框右上角的信息图标进入。
面板包含以下元素:
-
了解更多 - 链接将跳转至相关文档。
-
搜索 字段 - 支持通过完整或部分名称搜索表或列。
-
所有平台 筛选器:
-
所有平台
-
macOS
-
Linux
-
Windows
-
-
显示的项目数量。
-
搜索结果 - 可折叠显示内容的多个表格
查询结果限制
所有查询结果均适用以下限制:
-
每次查询最多返回50,000行数据。
-
每个终端每次查询最多返回1,000行数据。
-
单个终端的行数结果不会重新分配给未达到行数限制的其他终端。
-
实时搜索不支持Osquery事件表。
-
针对单个终端的查询将在30秒后自动超时(不包含结果处理时间)。
适用条件
本功能适用于已获得 GravityZone企业级商业安全 或 按需订阅 EDR 云服务许可的企业客户。
提交反馈
您可以通过发送邮件至 xdr-eap@bitdefender.com .
该 XDR 查询语言
查询语言提供词汇表(字段与运算符)及语法规则,帮助您构建查询语句。
要在平台内查看语法说明,请点击搜索栏中的
图标。