跳至主内容

分析检测事件

威胁探测器 提供多样化的列和筛选器帮助您浏览事件列表。您既可从下拉菜单中选择筛选条件,也可输入匹配目标结果的关键词。

Threats_Xplorer_-_Analyzing_events.PNG

可用的列和筛选器包括:

  • 检测时间

    该列显示检测发生的精确时间与日期。通过筛选器可查看预设时间段或自定义区间内的事件。

  • 公司

    该列按公司显示检测事件。您可选择单个或多个公司查看特定事件集合,也可通过专属筛选器查看直接管理的所有公司或有权限访问的全部公司事件。

  • 类别

    该列使用文件、邮件、网站、进程等通用分类对已识别威胁进行归类。

  • 详情

    该列提供威胁的具体信息,例如文件路径、进程路径、网站地址、邮件主题等。

  • 采取的措施

    本部分展示了对威胁采取的措施以及发生次数。例如,使用可用过滤器可查看被拦截、删除、隔离、上报的项目等。

  • 终端名称

    本列提供检测发生所在设备的名称。您可在过滤器搜索栏输入设备名称以搜索特定设备。

  • 命令行

    在此部分可查看检测到的威胁中使用的命令行详情(如有)。

  • 威胁类型

    本列显示发现的威胁类型。您可从过滤器中选择一个或多个类型并识别对应事件。有关可用威胁类型的更多信息,请参阅 术语表 章节。

  • IP地址

    在此部分可查看检测发生所在设备的IP地址。

  • 终端类型

    本列提供设备类型信息,包括服务器、工作站、容器或容器主机。

  • 用户

    本列显示攻击中使用的用户名。

  • 检测模块

    本部分提供识别威胁的 GravityZone 模块名称。您可使用过滤器选项来筛选事件列表。

  • 检测技术

    本部分提供用于识别威胁的 GravityZone 技术信息。您可使用过滤器选项来筛选事件列表。

  • 威胁名称

    本列显示已识别威胁的确切名称。您可在过滤器搜索栏输入名称来搜索特定威胁事件。

  • 无文件攻击

    本列提供关于无文件攻击存在的详细信息。

  • SHA256

    您可通过本列查看文件哈希值信息,并使用关联过滤器发现具有特定哈希值的事件。

  • 标签

    该列及筛选器显示所选公司可用的自动或自定义终端标签。您可筛选并查看来自特定标签终端(仅限自定义或自动标签)或无标签终端的检测事件。标签不适用于非托管终端或 安全服务器 实例。更多信息请参阅 使用终端标签 .

注意

  • 页面左侧列上方的项目数字表示根据所选筛选器的检测事件总数。您还可查看指定事件被检测次数的发生次数。

  • 要管理 威胁探测器 页面,请使用右上角的选项。您可以导出数据、调整列、清除筛选器、移除筛选器区域、刷新网格并切换至紧凑视图。

检测详情

检测详情 面板助您进行深度分析,提供事件特定信息及多项调查与修复操作。

要分析事件,请从网格中选择并在右侧打开的面板中查看详情。面板包含:

事件详情:

  • 威胁相关信息,如威胁类型与名称、采取的操作、检测模块等。

  • 检测项详情,包括类别及进程ID、文件路径、URL、邮件主题等具体信息。

  • 终端详情,如终端名称、类型、风险评分、分配标签、关联策略、现存漏洞或配置错误等。

    Threats_Xplorer_-_Detection_details_panel.png

操作:

  • 扫描 :配置并启动终端扫描任务。

  • 隔离 :执行此操作可将终端与网络隔离直至威胁解除。

  • 添加排除项 :为检测项创建排除规则。此操作适用于文件与进程。

  • 添加到阻止列表 :将检测项加入阻止列表。仅当存在项目哈希值时可用此操作。

  • 显示检测项 : 查看该终端过去24小时内的所有安全事件。

  • 在网络中显示 : 在 网络 资产清单中查看该终端。

为提升安全分析能力和整体可访问性,您也可从 威胁探测器 页面进入 执行摘要 .

本节内容 :