跳至主内容

管理受监控规则

受监控规则是PHASR用于识别潜在攻击向量的机制,允许用户减少攻击面暴露。每条规则可生成多项建议。

您可以通过访问 PHASR受监控规则 页面查看当前通过PHASR生效的所有规则列表。

PHASR_monitored_rules_grid.png

  1. 通过 视图选项 菜单,本节提供多种视图操作功能:

    • 重置视图 - 将已保存视图恢复至原始状态。

    • 显示或隐藏筛选器 - 隐藏或显示筛选器菜单。

    • 打开设置 - 显示 设置 面板。

      您可以通过此面板自定义视图中显示的列,并启用或禁用 紧凑 视图。

  2. 筛选器 部分。您可以使用这些选项自定义下表中显示的风险。

    当前提供以下筛选条件:

    筛选选项

    详情

    公司

    使用可搜索的下拉菜单,根据监控规则所属公司名称进行筛选。

    仅显示属于所选公司的监控规则。此筛选器仅适用于合作伙伴类型的公司。

    规则名称

    使用可搜索的下拉菜单,根据监控规则名称进行筛选。

    仅显示选定的监控规则。

    规则触发日期

    使用日历选择两个日期。

    仅显示在选定日期之间触发的监控规则。

    无限制行为画像身份

    使用可搜索的下拉菜单,根据监控规则所针对的身份名称进行筛选。

    仅显示为选定身份创建的监控规则。

    无限制行为画像资源

    使用可搜索的下拉菜单,根据监控规则所针对的资源名称进行筛选。

    仅显示为选定资源创建的监控规则。

    目标活动类型

    使用下拉菜单根据目标活动类型名称筛选监控规则。

    仅显示针对所选活动类型的受监控规则。

  3. 受监控规则表 展示了所有活跃的PHASR受监控规则。

    每条发现的信息在以下列中显示:

    • 规则名称 - 受监控规则的名称。

      点击名称可查看 受监控规则详情 侧边面板。

    • 建议 - 基于此规则创建的建议数量。

      点击该列下的数值将跳转至PHASR建议页面,表格将自动筛选显示因触发该规则而产生的建议。

    • 规则触发日期 - 显示该规则最近一次触发的日期和时间。

    • 目标活动类型 - 规则所适用的活动类型。

    • 规则触发 - 触发该规则的事件数量。

      点击名称可查看 规则触发 侧边面板。

    • 无限制行为画像 - 该规则所适用的行为画像数量。

      点击该列下的图标可查看 行为画像 侧边面板,其中显示用户和设备的完整列表。

      注意

      本节列出PHASR迄今发现的行为画像。但这并不意味着其学习过程已完成。随着系统持续收集分析数据,可能会新增画像。

    • 受限行为画像 - 基于此规则被限制访问的行为特征数量。

      点击该列下方的图标将显示 行为特征 侧边面板,其中展示用户与设备的完整列表。

    • 公司 - 受监控规则所属的公司。

    注意

    各列信息的更多详情可在筛选器章节查阅。

  4. 操作菜单 - 点击行内菜单按钮将显示针对该推荐可执行的操作列表:

    • 查看/编辑访问权限 - 此选项将显示 编辑访问权限 窗口,您可在此查看并限制或允许对行为特征的访问。

查看受监控规则详情

您可通过打开 受监控规则详情 侧边面板查看规则的附加信息。点击 规则名称 列下的规则名称即可打开侧边面板:

PHASR_monitored_rules_sidepanel_981499_en.png

  • 常规 - 此部分包含以下信息:

    • 目标活动类型 - 该规则针对的活动类型。

    • 规则触发日期 - 该规则最后一次触发的日期和时间。

    • 规则触发次数 - 触发该规则的事件数量。

      点击名称将显示 规则触发记录 侧边面板。

    • 建议 - 基于此规则生成的建议数量。

      点击该列下的数值将跳转至PHASR建议页面,表格将自动筛选显示因触发该规则而产生的建议。

    • 行为画像 - 该建议适用的行为画像数量。

      点击该列下的图标将显示 行为画像 侧边面板,其中展示完整的用户和设备列表。

    • 受限行为画像 - 基于此规则被限制访问的行为画像数量。

      点击该列下的图标将显示 行为画像 侧边面板,其中展示完整的用户和设备列表。

    • 涉及规则触发的事件 - 因该规则触发而开启的事件列表。

      点击关联事件名称将打开 关系图 标签页(位于 事件 页面),并在新浏览器标签中显示。

  • 受监控规则描述 - 提供关于该规则的说明及其适用方式。

  • 操作按钮 - 根据建议状态,此按钮可让您 限制访问 .

查看与编辑访问权限

要编辑特定规则对行为画像的访问权限,请按以下步骤操作:

  1. 前往 PHASR受监控规则 页面。

  2. 找到需要修改访问权限的规则,在 规则名称 列下选择其名称。

    随后 规则详情 侧边面板将显示。

  3. 选择 编辑访问权限 .

    此时 编辑访问权限 窗口将弹出。

    PHASR_edit_access_981499_en.png

  4. 行为画像 部分,配置您希望限制或允许访问的部门、用户或设备。

    通过推荐功能施加的限制也可从受监控规则中移除。

    注意

    PHASR从Active Directory的"部门"字段获取部门信息,并仅在控制台中为受监控用户显示。此功能需满足:机器具有AD访问权限且用户部门已定义。若该字段为空或无法访问AD,则不会显示部门信息,用户将归类至"未分配"组(显示在推荐或受监控规则部分)。

  5. 点击 编辑访问权限 以应用更改。

查看规则触发记录

要查看规则触发时事件的其他详细信息,请按以下步骤操作:

  1. 进入 PHASR受监控规则 页面。

  2. 找到需要修改访问权限的规则,选择 规则触发次数 列。

    规则触发 侧边面板将显示。

    PHASR_rule_triggers_981499_en.png

侧边面板包含规则每次被触发事件的相关信息:

  • 时间戳 - 规则被触发的具体时间与日期。

  • 用户名 - 触发规则的用户名。

  • 主机名 - 触发规则的终端主机名称。

  • 事件 - 因触发规则而生成的安全事件。

    点击关联事件名称将打开 关系图 标签页(位于 事件 页面),并在新浏览器标签中显示。

本节内容 :