PHASR仪表板
PHASR收集的数据按类别组织、分析并展示在相关组件中。您可以在 监控 > ASM仪表板 页面上找到这些组件,当 PHASR 在智能视图中被选中时。
本页面提供一系列组件,深入分析企业潜在攻击结构,识别暴露区域并增强对可能攻击向量的可视性。突出显示可立即实施的建议以降低攻击面暴露风险,同时包含与建议相关的信息链接,助力更高效精准的缓解措施。组件会基于每类最短规则学习周期显示剩余学习时间及完成百分比。
注意
若策略中禁用某监控类别,其组件将不显示数据并呈现以下提示: 该活动类型的监控已禁用 .
该功能利用以下组件实现:
攻击面暴露程度
该组件显示企业当前攻击面暴露的百分比,突出显示可能被利用的攻击向量部分,清晰量化暴露风险。目标是降低该百分比,从而减少企业面临潜在威胁的脆弱性。可通过应用 PHASR建议 章节的推荐方案,或在 PHASR监控规则 章节管理访问权限,进一步了解如何最小化攻击面。
在数据收集阶段,PHASR通过观察用户活动和工具使用情况,评估可潜在缩减的攻击面范围。此时组件仅显示进度指示器而非完整暴露分数,因为系统仍在学习正常与高风险行为的特征。
进入监控阶段后,仪表盘开始动态显示0-100的残余暴露分数。数值越高代表暴露风险越大,0分表示所有可降低风险均已消除。仪表盘采用色标区分风险等级,并通过标签显示具体百分比。
下方的分数分解区显示自动巡航模式与直接控制模式各自降低的暴露量。仪表盘实时呈现当前残余暴露量,该分数会随风险缓解措施下降,但出现新风险时也可能上升。
当新增用户或终端时,组件进入混合模式。在持续监控现有数据的同时收集新用户信息,待其行为基线建立后更新暴露分数。
在纯自动巡航模式下,残余分数可降为零,但组件仍会显示原始攻击面的缩减量,确保全程透明展示风险处置过程。
所有阶段中,组件同步呈现已缓解风险与残余风险,保持每个步骤的处置平衡可见。
攻击面暴露程度时序波动
该组件呈现企业总体风险分数随时间的变化趋势,帮助识别拐点、关联事件或新问题。
折线图展示分数变化,下拉菜单支持查看最近7/30/90天数据。默认加载30天视图,数据随所选周期动态更新。悬停数据点可查看精确分数与日期提示框。
受限行为画像
该组件按PHASR分类与执行方式(自动巡航/直接控制)展示受限行为画像。
图表中央数值表示所有分类的受限行为画像总数,其值等于各分类自动巡航与直接控制数量之和。
扇形区块展示分类占比(无文件攻击、远程管理工具、篡改工具、盗版工具、加密矿工),悬停显示具体数量。图表下方列出各分类总量(自动巡航+直接控制)及分项计数。点击数值可查看匹配画像的侧边面板。
PHASR终端分布
该组件展示各PHASR分类下的终端限制情况。每根柱条代表一个分类(无文件攻击、远程管理工具、篡改工具、盗版工具、加密矿工),分段显示自动巡航与直接控制的限制终端数,便于分析人员快速对比自动化管理与需人工干预的类别。
同一分类的柱条可叠加显示多来源(如自动巡航和直接控制)的限制终端。
高影响力优先建议
注意
本节仅显示公司政策中配置为 直接控制 数据类型的建议。自动巡航建议会实时应用且不在仪表盘显示,配置为 自动巡航 不会显示在小部件中。
该小部件显示按优先级排序的建议,分为两个部分:
-
高影响 - 适用于公司所有行为配置文件的建议
-
中等影响 - 仅适用于公司特定行为配置文件的建议。
建议按其减少攻击面暴露的潜在影响进行排序。每条建议显示受影响的行为配置文件数量及其对整体攻击面暴露的影响,有助于集中精力在最有效的领域。
将鼠标悬停在建议名称上可查看完整描述,为决策提供更多详细信息。
点击中间列下方的图标将显示 行为配置文件 侧边面板,其中显示用户和端点的完整列表。
监测攻击向量类别的检测事件
该小部件列出了与PHASR监测的每种活动类型相关的检测事件总数:
-
篡改工具
-
Living off the land二进制文件
-
加密矿工
-
盗版工具
-
远程管理工具
每个类别指示监测的进程是否涉及事件。如需查看相关事件的详细列表,可点击每个类别提供的链接。这些链接将跳转至 事件 页面。每种活动类型可能具有以下值之一:
-
此类别无进程涉及事件
-
此类别有进程涉及事件
-
数据收集中
-
无可用数据
当您跳转至 事件 页面时, 目标活动类型 列默认不显示。要查看它们,请打开设置面板并启用 目标活动类型 选项。
盗版工具
该组件根据盗版工具使用情况将行为档案分为三类:
-
使用此类工具的行为档案——指PHASR检测到使用该类别工具的行为档案。
-
未使用此类工具的行为档案——指PHASR未检测到使用该类别任何工具的行为档案。
-
受限行为档案——提供「自动执行」和「直接控制」的独立细分,更清晰展示每类别的执行情况。
针对盗版工具使用的每条建议,组件会显示受影响用户数量及适用指定操作的终端数。
同时突出显示每条建议对整体风险面的预期影响,助力精准风险管理和有效缓解策略制定。
提示
盗版工具指可用于访问、操控或利用系统及数据的工具。PHASR盗版工具组件监控用户档案中的此类工具,识别有使用记录的用户并提供建议,以降低未授权访问或滥用相关风险。
本组件根据PHASR当前数据收集阶段显示数据:
-
数据收集阶段——首次启用PHASR时,组件会主动收集用户档案数据以建立模式并检测潜在可利用攻击向量。此时组件显示饼图展示阶段进度。
-
监控阶段——当所有用户数据收集完成后,组件显示最终饼图,汇总使用盗版工具与未使用用户总数,全面展示组织内盗版工具暴露情况,并列示未实施建议。
-
混合阶段——若监控阶段检测到新用户,将开始监控这些用户,同时保留现有用户数据。
历史建议保持可见,饼图更新显示新用户数据分析进度。您可查看可行洞察,同时组件持续学习新用户数据。
新用户数据收集完成后,组件将返回监控阶段。
悬停建议名称可查看完整描述,获取决策所需详细信息。
点击中间列下方图标可显示 行为档案 侧边面板,查看完整的用户及终端列表。
加密矿工
该组件监控行为档案,根据组织环境中加密货币挖矿工具或活动的检测结果进行分类。提供有挖矿记录、无活动记录及受限行为档案的洞察,并给出降低未授权或有害挖矿操作风险的建议。
提示
加密矿工是用于加密货币挖矿的软件工具,常消耗大量系统资源,若未经授权可能带来安全风险。PHASR加密矿工组件识别从事挖矿活动的用户档案,帮助组织通过定制建议监控资源使用并降低暴露风险。
本组件根据PHASR当前数据收集阶段显示数据:
-
数据收集阶段——首次启用PHASR时,组件开始主动收集用户档案数据以建立模式,检测可能利用系统资源的挖矿相关活动。此时组件显示饼图展示阶段进度。
-
监控阶段——所有用户数据收集完成后,组件显示最终饼图,汇总有挖矿活动与无活动用户总数,并列示未实施建议,全面展示组织内挖矿暴露情况。
-
混合阶段——若监控阶段检测到新用户,将开始监控这些用户,同时保留现有用户数据。
历史建议保持可见,饼图更新显示新用户档案分析进度。该混合阶段允许在PHASR持续监控评估新挖矿活动时,仍可获取现有数据的可行洞察。
在为新用户收集数据后,小部件将返回监控阶段。
将鼠标悬停在推荐名称上可显示完整描述,为决策提供更详细的信息。
点击中间列下方的图标将显示 行为画像 侧边面板,其中展示了用户和端点的完整列表。
远程管理工具
该小部件监控行为画像,并根据组织内远程管理工具(RAT)的检测结果对其进行分类。它提供了有关记录使用远程管理工具的行为画像、无记录使用行为画像以及受限行为画像的洞察。同时,它还提供建议以管理或减轻与这些工具相关的潜在风险。
提示
远程管理工具(RAT)为系统提供远程访问以进行管理或支持,但如果被滥用则可能被利用。PHASR小部件监控用户画像中的RAT使用情况,区分授权活动和潜在风险活动,并提供可操作的见解以保护远程访问点。
此小部件根据PHASR当前数据收集过程的阶段显示数据:
-
数据收集阶段——当首次启用PHASR时,小部件开始主动从用户画像中收集数据,以建立模式并检测任何可能因滥用而构成安全风险的远程管理工具使用情况。在此期间,此小部件显示饼图以说明阶段进度。
-
监控阶段——当为所有用户收集数据后,小部件显示一个最终饼图,总结使用远程管理工具的用户总数与未使用的用户数。此状态还包括未实施的推荐列表,提供组织中远程管理工具暴露情况的全面视图。
-
混合阶段——如果在监控阶段检测到新用户,将开始监控这些用户,同时保留现有用户的数据。
之前的推荐仍然可见,而饼图会更新以显示分析这些新用户画像的进度。这种混合状态允许现有数据的可操作见解在PHASR继续监控和评估任何新的远程管理工具活动时保持可用。
在为新用户收集数据后,小部件将返回监控阶段。
将鼠标悬停在推荐名称上可显示完整描述,为决策提供更详细的信息。
点击中间列下方的图标将显示 行为画像 侧边面板,其中展示了用户和端点的完整列表。
篡改工具
该小部件监控行为画像,并根据组织内篡改工具的检测结果对其进行分类。它提供了有关记录使用篡改工具的行为画像、无记录使用行为画像以及受限行为画像的洞察。同时,它还提供建议以减轻与这些工具相关的风险并维护系统完整性。
提示
篡改工具用于更改或绕过系统保护,可能危及安全性和数据完整性。PHASR的篡改工具小部件检测用户画像中的此类活动,突出潜在威胁并提供维护系统完整性的建议。
此小部件根据PHASR当前数据收集过程的阶段显示数据:
-
数据收集阶段——当首次启用PHASR时,小部件开始主动从用户画像中收集数据,以建立模式并检测任何可能危及系统安全或完整性的篡改工具使用情况。在此期间,此小部件显示饼图以说明阶段进度。
-
监控阶段——当为所有用户收集数据后,小部件显示一个最终饼图,总结使用篡改工具的用户总数与未使用的用户数。此阶段还包括未实施的推荐列表,提供组织中篡改工具暴露情况的全面视图。
-
混合阶段——如果在监控阶段检测到新用户,将开始监控这些用户,同时保留现有用户的数据。
之前的推荐仍然可见,而饼图会更新以显示分析这些新用户画像的进度。这种混合状态允许现有数据的可操作见解在PHASR继续监控和评估任何新的篡改工具活动时保持可用。
在为新用户收集数据后,小部件将返回监控阶段。
将鼠标悬停在推荐名称上可显示完整描述,为决策提供更详细的信息。
点击中间列下方的图标将显示 行为画像 侧边面板,其中展示了用户与端点的完整列表。
离地攻击二进制文件
该组件监控行为画像,并根据组织内离地攻击二进制文件的检测结果进行分类。它提供以下洞察:记录使用过这些二进制文件的行为画像、无使用记录的行为画像以及受限制的行为画像。同时提供建议以最小化可能被恶意利用的系统原生工具使用风险。
提示
离地攻击二进制文件是可能被恶意利用的合法系统二进制文件,攻击者可借此规避检测。PHASR组件监控用户画像中此类二进制文件的使用情况,识别潜在恶意利用实例,并提供降低风险策略,同时维持必要的系统功能。
该组件根据PHASR当前数据收集阶段显示数据:
-
数据收集阶段——首次启用PHASR时,组件开始主动收集用户画像数据以建立模式,检测可能被用于未授权操作的离地攻击二进制文件使用情况。此阶段通过饼图展示进度。
-
监控阶段——当所有用户数据收集完成后,组件显示最终饼图,汇总使用/未使用离地攻击二进制文件的用户总数。此阶段还包含未实施建议的列表,全面展示组织内离地攻击二进制文件暴露情况。
-
混合阶段——监控阶段若检测到新用户,将对其启动监控,同时保留现有用户数据。
历史建议保持可见,饼图实时更新新用户画像分析进度。该混合阶段使现有数据的可行洞察持续有效,同时PHASR继续监控评估新出现的离地攻击二进制文件活动。
新用户数据收集完成后,组件将返回监控阶段。
悬停建议名称可查看完整描述,为决策提供详细信息。
点击中间列下方的图标将显示 行为画像 侧边面板,其中展示了用户与端点的完整列表。
查看建议详情
您可以通过打开 建议详情 侧边面板查看建议的附加信息。点击建议名称即可打开侧边面板:
-
概览 - 本节包含以下信息:
-
目标活动类型 - 建议所针对的活动类型。
-
攻击面缩减 - 显示实施建议对总攻击面的影响程度。
-
创建时间 - 建议生成的日期与时间。
-
监控规则 - 显示用于生成建议的规则名称。
注意
受监控规则名称以链接形式显示,点击将在新标签页中打开PHASR受监控规则网格,并自动按所选规则预过滤。
-
行为画像 - 显示建议对应的画像总数。
-
采取的措施 - 根据建议所采取的操作。
-
-
详情 - 本节提供漏洞的书面描述及其可利用方式
-
建议缓解措施 - 修复漏洞的推荐操作。
-
操作按钮 - 根据建议状态,此按钮可让您 限制访问 .
自定义仪表板
该 ASM仪表板 完全可定制,允许移动/调整小组件大小及选择显示内容。
选择可见小组件
要显示/隐藏特定小组件,请点击仪表板页面右上角的设置按钮,勾选目标小组件复选框,然后点击 应用 .
移动小组件
拖动小组件右上角的拖动手柄按钮,将其放置到目标位置。
调整小组件大小
点击小组件右下角的调整按钮,拖动至所需尺寸。
使用智能视图
此功能可自定义、保存并切换不同的页面布局方案。
面板包含以下部分:
-
搜索视图 - 使用此搜索框按名称筛选现有视图。
-
已保存 - 此部分显示所有未标记为收藏的已保存视图列表。
-
收藏夹 - 所有标记为收藏的视图将显示在此部分下。
-
默认视图 - 此部分显示默认提供的视图。