事件调查
该 事件 模块可帮助您对特定时间范围内由事件传感器检测到的所有安全事件进行筛选、调查和处置。
本模块包含以下功能:
-
事件 :查看并调查事件。
-
阻止列表 :管理事件中拦截的文件。
-
搜索 :查询安全事件数据库。
-
自定义规则 :创建用于排除或检测的自定义规则
注意
这些功能的可用性和运行情况可能因当前订阅计划包含的许可证类型而异。
事件页面
该 事件 页面提供了一个高度可定制的网格,用于显示为托管公司生成的 EDR / XDR 事件列表。
此页面包含以下区域:
-
智能视图 面板切换按钮。此功能允许您自定义、保存并切换 事件 页面的不同布局配置。 面板包含以下部分:
搜索视图
-
- 使用此搜索字段按名称筛选下方各节中显示的视图。 已保存
-
- 本部分显示所有未标记为收藏的已保存视图列表。 收藏夹
-
- 所有标记为收藏的视图均在此部分显示。 默认视图
-
- 本部分显示默认提供的视图: 全部事件
-
分配给您
-
-
终端事件
-
组织事件
-
对于 已保存 或 收藏夹 类别中的任何视图,您可以点击
以
重命名
或
删除
该视图。
-
-
通过 视图选项 菜单,本节为您提供多种视图操作功能:
-
保存 :使用此选项可保存对已存视图的修改。
-
另存为 :允许以不同名称保存修改后的视图。
-
放弃更改 :将已保存的视图恢复至原始状态。
-
显示演示事件 或 隐藏演示事件 :用于启用或禁用 XDR 演示模式 功能。
-
添加到收藏夹 :将视图添加至 收藏夹 类别。
-
导出视图 :将事件网格导出为CSV文件。
每个实体或资源类型显示在单独的列中。这些列是动态生成的:如果没有事件涉及特定资源或实体类型,则不会显示相应列。
重要提示
单次最多可导出10,000个事件。若数据量超过此数,建议调整搜索选项。
-
显示/隐藏筛选器 :隐藏或显示筛选器菜单。
-
打开设置 :显示 设置 面板。
可通过此面板自定义视图中显示的列,并启用或禁用 紧凑 视图。
-
-
该 筛选器 部分。可用这些选项自定义下方网格中显示的事件。
当前提供以下筛选选项:
筛选选项
详情
ID
输入要查询事件的完整ID编号。
仅显示ID匹配的事件。
创建时间
选择特定日期范围。
仅显示该时间段内创建的事件。
最后更新时间
选择特定日期范围。
仅显示在该时间段内最后更新的安全事件。
状态
从以下状态中选择一个或多个:
-
全部 - 显示所有事件,无论其状态如何。
-
未处理 - 尚未调查的事件。
-
调查中 - 当前正在调查的事件。
-
误报 - 标记为误报的事件
-
已关闭 - 调查已结束的事件。
处理人
从 GravityZone 用户列表中选择。
仅显示分配给所选用户的事件。
优先级
从可用优先级中选择一个或多个:
-
全部
-
未知
-
低
-
中
-
高
-
严重
仅显示具有所选优先级的事件。
严重性评分
拖动滑动条上的两个调节钮或输入具体数值以设定严重性评分范围。
严重性评分是10至100之间的数值,表示安全事件的潜在危险程度。分数越高,事件危险性越明确。该评分基于攻击指标和ATT&CK技术(如适用)提供上下文参考。
仅显示严重性分数在选定范围内的安全事件。
公司
从所有持有有效 XDR 许可证的托管公司列表中选择一家公司。
仅显示源自所选公司的事件。
实体
从已知网络实体列表中选择一个或多个项目。
仅显示与所选实体相关的事件。
已采取措施
选择以下一个或多个选项:
-
全部
-
已报告
-
已拦截
-
部分拦截
仅显示分配了所选操作的事件。
关联事件
输入您要查找的子关联事件的完整ID编号。
将显示具有匹配ID的父关联事件。
资源
从涉及事件的已知资源列表中选择一个或多个项目。
仅显示与所选资源相关的事件。
最终攻击链阶段
选择一个或多个可用选项。该过滤器基于Mitre矩阵提供攻击阶段列表。
仅显示攻击终止于所选阶段之一的事件。
事件类型
在可用事件类型中选择。选择以下选项将更改网格中显示的信息:
-
全部 - 终端和组织事件均显示在网格中。
仅未与XDR事件关联的终端事件会作为单独条目显示。所有其他终端事件将显示在 关联事件 列中,与所属组织机构事件显示在同一行。
-
端点事件 - 仅当该选项被单独勾选时显示端点事件,包含与组织机构事件关联及未关联的事件。
当同时勾选端点事件和组织机构事件选项时,若端点事件属于某组织机构事件,则显示在关联事件列下;否则将在网格中单独显示。
-
组织机构事件 - 网格中仅显示组织机构事件。
若组织机构事件关联了端点事件,这些事件将显示在 关联事件 列中。
参数
从以下可选参数中选择:
-
告警名称 - 事件关联的告警名称。
-
ATT&CK技术 - 事件中使用的MITRE技术名称。
-
ATT&CK技术ID - 攻击中使用的MITRE技术编号。
-
ATT&CK子技术 - 攻击中使用的MITRE子技术名称。
-
ATT&CK子技术ID - 攻击中使用的MITRE子技术编号。
-
IP地址 - 事件关联的IP地址。
-
MD5 - 事件关联文件的MD5哈希值。
-
SHA256 - 事件关联文件的SHA256哈希值。
-
节点名称 - 事件关联的节点名称。
-
用户名 - 事件涉及的用户名。
-
文件名 - 事件涉及的文件名。
-
文件路径 - 事件涉及的文件路径。
-
URL - 事件涉及的URL。
-
MAC地址 - 事件涉及的MAC地址。
-
邮件主题 - 事件涉及的邮件主题。
-
电子邮件地址 - 事件涉及的电子邮件地址。
-
进程名称 - 事件涉及的进程名称。
-
进程路径 - 事件涉及的进程路径。
-
进程PID - 事件涉及的进程标识符。
-
注册表键 - 事件涉及的注册表键。
-
检测规则ID - 自定义检测规则的ID。
-
-
该 事件网格 。网格显示符合当前筛选条件且不超过90天的所有事件。
每个事件的可查看信息显示在以下列中:
-
ID - 事件的ID。
点击事件编号可查看该事件的详细信息。
勾选每个事件编号旁的复选框,以便在执行 更改状态 批量操作时包含该事件。
-
创建时间 - 事件创建的日期
-
最后更新时间 - 事件最后一次更新的日期。
-
状态 - 事件的状态。
-
负责人 - 负责该事件的安全分析师。
-
优先级 - 分配给事件的优先级。
-
严重性评分 - 分配给事件的严重性评分。
-
实体 - 事件涉及的实体列表。
点击任意实体可显示 实体 面板。
-
采取的措施 - 调查事件后采取的措施。
-
关联事件 - 与网格中显示事件相关联的子事件ID。
-
资源 - 相关资源列表。
点击任意实体可显示 资源 面板。
-
最后攻击链阶段 - 基于Mitre矩阵的攻击最后阶段。
-
事件类型 - 事件的类型。
备注
各列信息的更多详情可在 筛选器 部分查看。
-
-
点击 事件操作 按钮,该按钮提供以下选项:
-
查看事件和警报 - 选择此选项将打开 历史事件搜索 页面,并自动用与事件相关的搜索参数填充搜索字段。
-
优先处理 - 选择此选项将打开一个窗口,您可以在其中设置事件的新优先级,选择将更改应用于所有相关事件,并提供说明更新原因的注释。点击 更改 .
-
分配 - 选择此选项将打开一个窗口,您可以在其中设置事件的新负责人,选择将更改应用于所有相关事件,并提供说明更新原因的注释。点击 更改 .
-
-
点击 更改状态 按钮。使用此操作可对下方网格中所有选定的端点执行批量操作。
将显示确认窗口。
该窗口提供 将状态更改应用于所有相关事件 复选框。 勾选此项可将新状态同时应用于所有与所选事件相关联的事件。
您可通过 备注 文本框对事件状态变更原因进行注释。该注释将追加至该事件现有注释中。
-
点击 优先级 按钮可为下方表格中所有选定事件分配优先级。
系统将显示确认窗口。
该窗口提供 将优先级变更应用于所有关联事件 复选框。勾选此项可将新优先级同时应用于所有与所选事件相关联的事件。
您可通过 备注 文本框对优先级变更原因进行注释。该注释将追加至该事件现有注释中。
-
点击 分配 按钮可为下方表格中所有选定事件指派分析员。
系统将显示确认窗口。
该窗口提供 将分配变更应用于所有关联事件 复选框。勾选此项可将新负责人同时应用于所有与所选事件相关联的事件。
您可通过 备注 文本框对负责人变更原因进行注释。该注释将追加至该事件现有注释中。
事件管理
在 事件 页面中,您可以执行以下操作:
查看事件详情
要查看特定事件的更多信息,请使用以下任一方法:
-
显示事件详情面板 :点击您想查看事件所在行的任意位置(ID、资源和实体列除外):
-
显示扩展事件概览 :点击 ID 列下的对应ID。事件信息以富卡片形式列出,根据所选筛选条件提供每个事件的概览。
提示
您也可以将光标悬停在 ID 列右侧,点击出现的 复制 按钮来复制事件链接。
更改事件状态
调查状态可帮助您追踪已调查并标记为关闭或误报的事件、当前正在调查的事件以及尚未分析的开放或新事件。
按以下步骤更改一个或多个安全事件的状态:
-
勾选 ID 列下所有要更改状态事件的复选框。切换网格页面时,已选事件将保持选中状态。
提示
点击表头行的复选框可选中当前页面显示的所有事件。
-
点击 更改状态 按钮。
系统将显示可用状态列表:
-
选择其中一个可用状态:
-
开放 - 该事件的调查尚未开始。
-
调查中 - 您已开始调查该事件。
-
误报 - 调查结果显示该事件的触发为误报。
-
已关闭 - 该事件的调查已结束。
显示确认窗口。
窗口提供 将状态变更应用于所有关联事件 复选框。 勾选此项可将新状态同时应用于与所选事件关联的所有事件。
此外,您可以使用 备注 文本框对更改事件状态的原因添加注释。该注释将追加至事件已有注释中。
-
-
点击 更改 以确认请求。
查看与事件相关的事件和警报
您可通过以下步骤直接搜索与事件相关的所有事件和警报:
-
点击网格右侧对应目标事件的菜单按钮以获取更多信息。
-
选择 查看事件和警报 :
搜索 页面 将在新浏览器标签页中打开。查询字段自动填充包含所选事件信息的字符串,搜索结果将显示在下方。
从事件中删除可疑的Gmail邮件
您可以从 组织事件视图 可通过以下任一方法实现:
提示
此功能仅适用于已集成的Google Workspace租户。
注意
该请求将被记录在 GravityZone 的 用户活动 .
从事件中对Google账户执行操作
您可以通过以下任一方法从 组织事件视图 对可疑账户执行操作。本指南将以停用账户为例进行演示:
提示
此功能仅适用于已集成的Google Workspace和Google Cloud Platform租户。
调查组织级事件
当从 智能视图 中选择时,在 事件 页面中, 组织级事件 视图会显示环境中检测到的所有可能影响整个网络的复杂全局事件。
每个事件都有专属视图,展示环境中发生的关联事件,为您提供潜在分阶段攻击的全网视角。
重要提示
是否启用 XDR 功能取决于当前订阅计划包含的许可证类型。
-
在 事件 页面中,点击 智能视图 按钮。
系统将显示 智能视图 面板。
-
选择 组织级事件 .
此时事件网格中仅显示 组织级事件 。
-
找到需要分析的安全事件,点击 ID 列。
您也可以点击任意事件的卡片打开其侧边面板快速分析事件指标,或点击 查看事件 按钮开始深入分析。
事件默认在 组织事件概览 部分打开。
-
在 概览 标签页中,您可以看到事件的根本原因,以及针对您组织的攻击是如何实施的其他洞察。您还可以查看所使用的技术、涉及杀伤链不同阶段的企业资源。
在 响应 组件中,您可以获取建议和可采取的措施,以立即遏制最紧迫的威胁。
-
查阅 需执行操作 标签页,了解需要采取哪些操作来消除或最小化活动威胁。
-
查阅 已执行操作 标签页,查看已采取哪些操作来消除或最小化威胁。
注意
了解更多有关缓解威胁的可采取操作,请参阅 响应 部分。
-
-
打开
图表
视图以查看扩展事件的图形表示。了解更多关于图表元素的信息
此处
.
-
可选地,使用活动面板按时间或攻击杀伤链中的相关性显示事件序列。
-
选择严重性最高的交互节点,分析侧边面板中的详细信息,包括:
-
交互的源和目标。
-
在此过程中触发的警报及相关资源的摘要。
重要提示
标记为红色的交互包含高严重性警报,应优先分析。
-
如需深入调查,可打开每个警报查看额外信息,包括警报指标、涉及的文件、交互记录、所用资源、攻击技术及建议措施。
-
-
查看节点详情时,您可执行以下操作:
-
对于已遭入侵的用户,打开用户节点的侧边栏并执行以下操作:
-
禁用用户 - 禁用环境中参与攻击传播的用户账户。
-
强制重置凭证 - 强制特定用户账户在下次登录时更改密码。
-
标记用户为已入侵 - 将该用户添加至 高风险用户 报告(路径:Azure AD > 安全)。
-
停用AWS账户 - 创建并应用策略以停用AWS用户账户并删除关联的访问密钥。此操作仅适用于已激活 AWS传感器(单账户环境配置) .
重要提示
参与恶意或可疑交互的用户会以特定身份节点表示,动态虚线将显示其可能入侵的环境内其他资产。
-
-
要继续调查,请导航至 警报 窗口,查看作为事件关联部分的每个详细事件。
组织事件概览
该 概览 页面提供您正在调查的扩展事件摘要,显示事件严重程度、环境中发生的关键安全事件以及受影响组织资源的信息。
调查事件的数据分为以下类别:
摘要
该 摘要 概述事件经过,呈现 根本原因分析 事件的根本原因分析,以及 初始访问 ,由 ATT&CK 战术与技术触发的警报,以及受事件影响的资源。
点击蓝色信息可打开详情面板,其中包含指向 风险管理 或事件图谱的链接以供进一步调查。
注意
若仅显示单一实体,点击不会打开详情面板,而是直接跳转至 风险管理 或事件图谱界面。
点击 生成报告 即可开始下载事件的详细PDF报告。该报告最多可包含1,000条警报和300个节点。
组织影响
该 组织影响 模块展示事件涉及的所有资源,包括受感染的服务器与终端、数据库、钓鱼邮件等。
可疑攻击者
本部分提供用于识别和确定网络威胁或攻击背后个人、团体或组织的详细信息。
默认展开首个攻击者下拉菜单。每个攻击者显示以下信息:
-
攻击者名称 - 攻击者名称及关联图标。
-
置信度 - 该攻击者涉及事件的置信百分比。
-
攻击者描述 - 攻击者相关描述。
-
跳转至IntelliZone的按钮。点击跳转按钮后,将在新标签页中打开包含该IoC基础搜索查询的IntelliZone界面。
-
别名 - 该行为者在安全领域中被赋予的其他名称。
-
动机 - 观察到的攻击者攻击目标(信息窃取、间谍活动等)。
-
赞助者 - 可能赞助该行为者的实体。
-
电子犯罪 - 其已知从事的网络安全犯罪类型。
-
首次检测日期 - 该行为者首次针对您公司发起攻击的日期。
-
以您所在国家为目标 - 指示该行为者是否通常以事件发生公司所在国家为目标。
-
以您所在行业为目标 - 指示该行为者是否通常以事件发生公司所在行业为目标。
-
涉及事件 - 该行为者参与的相关安全事件。
点击链接将跳转至 事件 页面,并自动应用筛选条件以显示相关事件。
-
CVE编号 - 当前事件中涉及的CVE编号列表。
-
入侵指标 - 当前事件中的入侵指标列表。
点击显示的入侵指标数量时, 入侵指标详情 侧边面板将展开,按类型分组展示具体指标。
-
MITRE攻击技术 - 该行为者常用且在当前事件中出现的MITRE攻击技术。
点击显示的攻击技术数量时, MITRE攻击技术 侧边面板将展开,展示具体技术列表。
ATT&CK战术与技术
本部分显示当前攻击中使用的所有MITRE ATT&CK战术与技术。
高亮项
该 高亮项 显示调查事件中对您组织影响最大的杀伤链阶段。
点击 图表视图 按钮可查看按杀伤链分组的所有安全事件。 活动 面板。
响应
该 响应 区域提供了针对扩展事件中威胁的具体缓解措施,帮助快速降低对环境的潜在损害。
-
查阅 需执行操作 标签页,了解消除或减轻现成威胁所需的行动。
-
查阅 已执行操作 标签页,查看已采取哪些措施来消除或减轻威胁。
选择 查看详情 可跳转至 响应 标签页,在此可执行所有必要操作、查看已执行操作并调整其状态。
关联风险
该 关联风险 组件汇总了与该事件相关实体的风险概况,包含以下部分:
-
关联风险图谱 - 以图形化方式呈现该事件中各类节点和资源类型的风险分布情况。
点击图谱任意区块或 查看全部风险 按钮将显示 关联风险 面板。
-
根源风险 - 本部分列出该事件检测到的所有根源性风险。
-
风险管理中的高风险项 - 本列表展示影响该事件中节点和资源类型的5个最严重风险。
-
云安全中的高风险项 - 本列表展示影响该事件中节点和资源类型的5个最严重风险。
点击图表任意部分、 根本原因风险 , 风险管理中的高风险项 或 云安全中的高风险项 区域的任意元素,或点击 查看全部风险 按钮将显示 关联风险 面板:
该面板包含两个标签页:
-
风险管理 - 此标签页提供来自端点风险分析功能的所有关联风险。
点击端点右侧菜单按钮可显示以下选项:
-
查看资源发现结果 - 跳转至 风险管理 > 资源 页面并应用资源名称筛选器。
-
查看发现结果 - 跳转至 风险管理 > 发现结果 已应用筛选器以查找名称。
-
-
云安全 。此选项卡提供源自云安全控制台的所有相关风险。
点击端点右侧的菜单按钮可提供以下选项:
-
查看规则 - 跳转至 云安全 > 态势管理 > 规则 并应用了查找名称的筛选器。
-
查看资源 - 跳转至 云安全 > 态势管理 > 资源 并应用了资源类型和查找详情的筛选器。
-
组织事件图谱
该 图谱 动态展示了正在调查的扩展事件的图形化表示,提供了详细的活动时间线,包含由外部代理在您的环境中(跨多个端点和网络设备)已发生或仍活跃的相关事件序列。
事件图谱部分分为两个主要区域:
1. 活动面板
包含在您调查的扩展事件中检测到并关联的所有警报。
-
面板大小可调;根据您的偏好调整其宽度。
-
需要更多空间进行其他任务时可折叠该面板。
-
搜索功能帮助您高效定位特定警报。
-
根据精确时间范围筛选告警,以便进行聚焦分析。
-
下拉菜单允许您按多种标准对告警进行分组,包括时间、严重性、传感器、事件ID、节点、告警名称或杀伤链阶段。每个告警分组会显示所涉及资源的总数。
-
要查看攻击随时间演变的过程,请按时间线分组告警,并逐一查看。
-
通过按告警名称分组,您可以将相同告警合并为一个活动面板条目,轻松识别事件中所有独特的检测结果。
-
为了更好地可视化哪些告警属于其他关联事件,请按事件ID对告警进行分组。
-
-
点击分组名称可高亮显示包含该分组告警的所有节点和转移线。每条转移线将根据其所含最严重告警进行着色。
图形动画将展示攻击如何在您的环境中展开,包括横向移动跳转实体、数据渗出等行为。
-
点击后,每个告警会展开显示详细信息:包括名称、事件描述,以及告警严重性、检测传感器、时间戳、杀伤链位置、受影响端点、涉及资源数量和IP等信息。
选择告警会高亮显示其所在的节点和转移线。
-
如果在多个端点检测到相同告警,可通过展开侧边面板进一步调查,该面板会显示端点列表。
-
如果该告警也属于某个端点事件,您可以在新浏览器标签页中打开进行深入调查。
-
如需查看此告警的更多信息,请点击 查看更多详情 以展开其详细信息面板。
-
2. 图形面板
图形包含以下元素:
初始访问代表攻击者与您环境的首次接触。
出口点代表数据渗出和命令控制事件。
搜索节点栏提供以下功能:
-
按名称搜索节点
-
隐藏警报标签
该 图例 显示您正在分析的扩展事件中关联的元素类型。您可以在搜索字段中输入事件组件的名称或文件扩展名,结果将显示在侧边面板中。
该 导航器 使您能够通过使用迷你地图和不同可视化层级快速浏览事件图谱并探索所有显示元素。
点击并按住
拖动
图标可将浮动导航器面板定位在事件图谱内的任意位置。
该 导航器 默认处于折叠状态。展开时,菜单将显示整个事件图谱的缩略图,以及用于调整可视化层级的操作按钮。
组织事件警报
使用 警报 页面可查看事件序列如何演变为触发当前调查的事件。此窗口显示由 GravityZone 技术(如 EDR 、网络攻击防御、异常检测、高级反漏洞利用、Windows反恶意软件扫描接口(AMSI))检测到的关联系统事件和警报。
每个复杂事件都有详细说明,解释检测到的内容以及如果该工件被用于恶意目的可能发生的后果,这些说明符合最新的MITRE技术和战术。
每个警报都有详细描述,包括使用的ATT&CK技术、其在杀伤链中的位置以及它如何影响您的组织。
您可以使用以下选项筛选这些警报:
-
使用 所有传感器 通过下拉菜单可选择启用所有传感器的警报,或仅启用某个传感器的警报。
-
使用 所有杀伤链阶段 下拉菜单可启用特定杀伤链阶段(从所有杀伤链阶段中)的警报。
-
使用 搜索 字段可按名称或文件扩展名搜索警报。
组织事件响应
该 响应 页面可对环境中发现的威胁(显示于当前调查的扩展事件中)立即采取消除或最小化措施。
所有操作以动态网格形式呈现,支持按操作类型、操作状态、执行时间等多种筛选排序方式。
该 响应 页面提供默认智能视图,可快速访问需立即处理的操作、已执行的操作或已驳回的操作。
-
选择 需执行操作 视图以执行保护环境的紧急措施。
-
可单独执行每项任务,或从网格中全选进行批量执行。
-
要单独执行任务,可从网格中选择并点击 执行 按钮,或通过菜单选择 执行 .
-
批量执行操作时,从网格中选择多个或全部操作后点击 执行 .
操作执行后状态将经历以下阶段: 需执行操作 > 待处理 > 进行中 .
-
若系统能完成该操作,其状态将变为 成功 ,且已执行的操作会被移至 已执行操作 视图供查阅。
-
若系统无法完成该操作,其状态将变为 失败 且该操作会保留在 待处理操作 视图中,直至您成功执行为止。
-
-
若无需执行某操作,可通过 管理 菜单或操作卡片菜单进行处理。
-
对于因通过其他方式完成而不再需要的操作,请使用 标记为完成 选项。这些操作将被移至 已执行操作 视图。
-
使用 忽略 选项可移除无用操作。这些操作会被移至 已忽略操作 视图。
您可随时将已忽略或标记为完成的操作恢复至先前状态。
-
重要提示
具有 需要外部操作 状态无法从 响应 页面自动执行,需手动完成。之后可根据处理方式标记为已完成或忽略。
响应操作
您可在 响应页面 > 需操作视图 中采取以下分类的操作以最小化或消除环境中的威胁:
-
隔离主机 - 隔离环境中的终端以遏制潜在恶意活动(如 横向移动 )向其他工作站扩散。被隔离终端仅能与 GravityZone .
-
冻结用户 - 锁定用户账户。此操作适用于来自Microsoft O65、Active Directory或Azure AD等多源事件涉及的所有用户类型。
-
强制重置凭证 - 要求指定用户在下次登录时更改账户密码。
-
标记用户为已泄露 - 将用户添加至Azure AD > 安全中的 高风险用户 报告。
-
停用AWS账户 - 创建并应用策略以停用AWS用户账户并删除关联访问密钥。此操作适用于已激活 AWS传感器(单账户环境配置) .
-
删除邮件 - 删除可疑邮件以防止恶意负载在组织内传播和执行。
-
删除文件 - 从Office 365环境中移除恶意或不需要的文件,以提高事件调查效率。
状态栏
状态栏提供安全事件标签,可帮助您检测正在分析的扩展事件的关键信息。
-
事件ID - 正在调查的事件的编号。
-
状态 - 事件的状态。
-
负责人 - 事件分配给的用户。
-
优先级 - 每个事件的优先级。
-
备注 - 此按钮提供分析员备注列表。
-
历史记录 - 此按钮提供事件的历史记录。
提示
点击 返回 按钮将返回至 事件 页面。
备注剪贴板
该 备注 剪贴板提供了一种便捷方式,可为事件添加备注以追踪变更及事件归属。
显示备注
要查看可用备注列表,请点击状态栏右侧的 备注 按钮:
注意
每条备注旁将显示创建者用户名。若用户属于合作公司,则显示
合作伙伴
名称。
添加备注
添加备注请按以下步骤操作:
-
点击剪贴板左下角的 添加备注 按钮。
-
填写备注信息。
注意
每条备注最多可包含50,000个字符。
-
选择 保存 .
注意
批量操作时,将为所有事件批量添加一条统一备注。
编辑备注
编辑备注请按以下步骤操作:
-
选择 菜单 按钮(位于待编辑注释的右侧)。
-
点击 编辑 .
-
进行必要修改:
注意
每条注释最多可包含50,000个字符。
-
点击 保存 .
注意
若需取消编辑,请点击 取消 ,然后选择 放弃 .
删除注释
删除注释步骤如下:
-
选择 菜单 按钮(位于待删除注释的右侧)。
-
点击 删除 .
注意
此功能仅适用于您自己创建的注释。
-
点击 删除 再次。
历史剪贴板
该 历史 面板提供了一种简便的方式来跟踪事件的历史记录。系统会追踪以下事件:
-
状态已变更
-
分配或重新分配事件
-
事件优先级设置或变更
-
事件备注添加、编辑或删除
-
创建事件
-
更新事件
列表按时间顺序显示,最新的在底部,最旧的在顶部:
每个事件将包含以下信息:
-
事件类型
-
事件描述
-
事件发生的日期和时间
注意
-
该 创建 事件还会显示事件的 严重性评分 。该 更新 事件会显示事件的新 严重性评分 ,使安全分析师能够发现事件严重性的增加,这可能表明组织风险更高。
-
某些事件,例如 分配 , 状态已变更 ,且 优先级变更 ,同时包含执行操作的用户详细信息。
XDR 演示模式
该 XDR 演示模式功能通过多传感器模拟场景,展示 XDR 功能的运作能力。
启用此功能需点击 显示演示事件 按钮,位于 事件 页面右上角:
启用后,将生成以下实体和信息:
-
一个带#DEMO标签的 XDR 主事件,内含Azure AD集成场景。
-
多个 EDR 事件会出现在主 关联事件 列中(隶属于 XDR 事件)。
-
原始事件、警报及xalerts数据。可通过
alert.incident_number:Demo结合其他搜索参数在 搜索 页面。提示
使用
AND组合多个搜索参数时。示例 - 在DEMO模式下显示所有警报类型事件:
重要
请确保在查询末尾使用demo参数。
other.event_type: alert AND alert.incident_number: DEMO
-
与事件相关的事件和警报。您可以通过点击 事件操作 按钮并选择 查看事件和警报 .
您可以通过点击 隐藏演示事件 按钮来隐藏演示,该按钮位于 事件 页面的右上角。
提示
-
筛选器部分保持不变。
-
在 更改状态 选项中,来自 事件 页面的网格不适用于演示事件。点击按钮不会更改事件状态。
查看#DEMO事件详情
要显示任何特定事件的附加信息,请使用以下方法之一:
-
显示 事件详情面板 对于 XDR 事件:点击属于#DEMO事件的任意行(除 ID , 资源 , 实体 及 关联事件 列之外):
-
显示 事件详情面板 对于 EDR 事件:点击 关联事件 列下的ID。
-
显示 事件概览 :点击ID列下的ID。事件信息以富卡片形式列出,提供基于所选筛选条件的每个事件概览。
-
复制事件链接:将光标悬停在ID列右侧,点击出现的 复制 按钮。
查看演示事件详情时,可像其他事件一样查看概览、图谱和响应操作,但无法执行任何操作。
安全分析师可通过更改状态、调整优先级、分配事件和添加备注操作模拟事件调查流程。所有变更可在 事件历史 选项卡查看,且仅在查看期间保存。
调查终端事件
该 终端事件 选项卡显示在终端级别检测到的所有可疑事件,这些事件需要调查且尚未采取任何措施。
-
在 终端事件 选项卡中,从事件网格中识别您要分析的安全事件。
-
使用 查看图表 按钮在事件卡片中打开 事件图表 在新页面中,或
-
选择安全事件卡片以打开其详细信息面板,快速查看该事件最重要的攻击指标。
打开事件图表后,您可以看到导致触发事件的事件序列,并提供采取补救措施的选项。
默认情况下,图表会高亮显示事件的 关键路径 以及触发事件的事件。
-
-
开始分析触发节点详细信息面板中显示的信息,以找出事件的根本原因。
在面板中,您可以找到有价值的信息,如触发节点上检测到的警报、事件的日期和时间,以及攻击者执行的命令行。
-
如果情况允许,选择 添加到沙箱 按钮以引爆可疑或恶意元素,并查看沙箱报告以评估它们可能对您的环境造成的损害。
提示
为确保您没有遗漏任何内容,请调查与触发节点同一级别的事件节点。
-
您可以继续分析构成关键路径的其他元素,直到清晰了解事件成因。
-
若威胁属实,请采取适当缓解措施。更多可用操作详见 节点详情 .
-
若威胁不属实,可前往图表顶部的 状态 菜单,将事件状态设为 误报 ,并开始调查列表中的下一个事件。
注意
您可通过 注释 剪贴板记录事件分析见解,为其他用户重新打开该事件时提供背景信息。
-
-
需要进一步调查时,请转至 事件 选项卡,查看作为调查中事件组成部分的所有原始事件与警报。
关系图
该 关系图 以交互式图形呈现被调查事件及其上下文,突出显示直接触发该事件的元素序列(即事件的 关键路径 ),其余关联元素默认以淡化形式显示。
关系图提供筛选选项用于自定义事件视图以优化可视化效果,并设有详细信息面板展示各元素深度数据,助力您高效调查环境中的事件。
关键路径
该 关键路径 是指从网络入口点开始,直至触发事件节点的整个过程中,引发警报的一系列相互关联的安全事件序列。
事件的关键路径默认会在图中高亮显示,包含所有相关事件节点。 触发节点 在图中与其他元素明显区分,其信息面板默认与事件图谱同时显示,提供详细的触发节点信息。
-
触发节点
-
节点详情面板(含可折叠信息区块)
-
最小化节点(与事件间接相关)
提示
选择触发节点以外的其他元素时,将不再高亮关键路径,而是显示从所选节点到事件起点的溯源路径。
安全事件节点
关于安全事件节点需了解以下要点:
-
每个节点代表调查事件中涉及的特定元素。
-
打开事件时,构成关键路径的所有节点默认详细显示,其他元素会淡化处理以避免视图混乱。
-
悬停非关键路径节点时,将高亮显示该节点并展示其溯源路径,同时保持 关键路径 .
-
-
从父节点派生的三个及以上同类型动作事件节点会被归入可展开的集群节点。
-
折叠集群节点时,仅不含子元素的节点会从事件图谱中隐藏。
-
检测到可疑活动的节点不会被加入集群节点。
-
-
点击节点将显示以下详情:
-
蓝色高亮显示通往端点节点的路径及所有相关元素。
-
侧边面板包含可展开区块,提供所选节点详细信息、触发检测时的警报、可用操作建议等。
-
-
节点通过箭头线连接,箭头线标注动作名称及时序编号,表示事件期间终端上发生的操作流程。
以下事件元素可表示为节点:
|
节点类型 |
描述 |
|---|---|
|
终端 |
显示终端详情及补丁管理状态。 |
|
域名 |
显示域主机及其终端的信息。 |
|
进程 |
展示当前事件中进程角色的详细信息,包括文件信息、进程执行详情、网络存在状态及进一步调查选项。 |
|
文件 |
展示当前事件中文件角色的详细信息,包括文件信息、网络存在状态及进一步调查选项。 |
|
注册表 |
显示注册表信息及父进程详情。 |
注意
了解更多节点详情 此处 .
过滤器
该 过滤器 菜单提供增强的筛选功能,可通过对元素类型或关联性进行高亮显示,或隐藏元素以使事件图更紧凑、更易于分析,从而实现对事件图形的完全操控。
点击并按住
拖动
图标可将浮动筛选面板放置在事件图中的任意位置。
当选择元素类型过滤器时:
-
事件图将缩小并高亮显示所选类型的所有元素,同时淡化其他类型的元素。
-
立即打开一个面板,显示所有高亮元素的列表。
注意
从显示的列表中选择一个元素,将在事件图中高亮显示该元素,并打开包含该元素相关信息的详情面板。
每次只能应用一个过滤器。
筛选选项包括:
-
关键路径 :高亮显示入侵事件的关键路径。
-
终端 :高亮显示受事件影响的终端。
-
进程 :高亮显示事件涉及的所有进程类节点。
-
文件 :高亮显示事件涉及的文件类节点。
-
域名 :高亮显示事件涉及的所有域名类节点。
-
注册表 :高亮显示事件涉及的所有注册表类节点。
-
元素关联性 :您还可以根据元素在事件中的重要性进行筛选。
-
中性节点
:对安全事件无直接影响的元素。
-
重要节点
:在安全事件中起关键作用的元素。
-
起源节点
:安全事件在网络中的初始爆发点。
-
可疑节点
:具有可疑行为且直接参与安全事件的元素。
-
恶意节点
:对网络造成破坏的元素。
-
您还可以通过点击 显示/隐藏 按钮来隐藏事件图中的特定元素(悬停在文件、域名和注册表类筛选器上时会显示该按钮)。
隐藏某类元素会通过移除所有对应元素来重绘事件图(即使这些元素已缩小显示),但触发节点和含有子元素的节点除外。
导航器
该 导航器 可通过迷你地图和多级可视化功能,帮助您快速浏览事件图并探索所有显示元素。 导航器 默认处于折叠状态。展开时将显示整个事件图的缩略版,以及用于调整可视化级别的操作按钮。
点击并拖拽
拖动
图标可将浮动导航面板定位在事件图中的任意位置。
通过
导航器
的
简化细节
与
详化细节
功能,可便捷调整事件图的可视化程度。
注意
当事件图超出屏幕范围时,按住并拖动地图选择器至目标区域。
节点详情
该 节点详情 面板包含可展开的详细信息区块,涵盖所选节点的预防/补救措施、检测类型说明、节点告警详情、网络存续状态、进程执行细节、安全事件管理建议及深度调查操作项。
要查看信息并在面板内执行操作,请先选择安全事件图中的节点。
-
点击 节点详情 面板的 折叠 按钮可收起该面板。
-
通过点击四大核心区块的图标,可快速浏览 节点详情 面板信息:
-
告警 本区块显示所选节点触发的一项或多项检测结果,含纳入该节点的Bitdefender技术说明、触发原因、检测名称及检测日期。
-
调查 区块记录首次检测时间戳及所有出现该元素的终端节点。
针对进程与网络节点,本区块提供直达Live Search的跳转按钮,其中预置了符合事件上下文的待执行查询。
EDR进程节点需点击 Live Search中的相关进程 以搜索所有关联的进程实例。
对于网络节点,点击 Live Search中的相关连接 以检查受影响端点发起的所有网络连接。
-
修复措施 本部分显示由 GravityZone 自动采取的措施、您可立即执行的威胁缓解操作,以及针对所选节点检测到的每个警报的详细建议,以协助您处理事件并提升环境安全等级。
-
信息 本部分显示每个文件的通用信息,以及根据所选节点类型呈现的特定信息。
-
-
您可将 节点详情 面板拖拽至屏幕中央以便浏览内容。
该 端点 详情面板包含两个部分:
-
修复措施 显示关于 GravityZone 自动执行的威胁缓解措施及您可采取的操作信息。
注意
可采取的操作范围可能因当前订阅计划包含的许可证类型而异。
-
设备信息 显示受影响终端的一般信息,如终端名称、IP地址、操作系统、所属组、状态、活动策略,以及一个可打开新窗口查看完整终端详情的链接。
同时提供已安装补丁数量、失败补丁数量或任何缺失的安全与非安全补丁等信息。
此外,您可生成终端补丁状态报告。此部分按需为目标终端提供。
您可在面板内执行以下操作:
-
查看目标终端补丁信息。点击 刷新 按钮查看补丁详情。
-
查看目标终端补丁状态报告。点击 查看终端补丁状态报告 按钮生成报告。
-
进程节点详情面板包含四个部分:
-
警报 显示所选节点触发的一项或多项检测,包括将该实体纳入事件的 Bitdefender 技术详情、触发检测的原因、检测名称及检测日期。每个警报描述均遵循最新MITRE标准。
-
调查 显示首次检测的时间戳及发现该威胁的所有终端。
点击 终端 字段中显示的数字可查看该列表,新窗口将弹出。
此部分还通过内部组件和第三方解决方案提供外部分析。
可执行以下操作:
-
添加到沙箱 - 使用此操作可生成沙箱分析报告。
选择 添加到沙箱 将弹出确认文件提交的界面。
确认后,系统将自动跳转至提交界面。
分析完成后,点击 查看沙箱分析报告 按钮即可打开完整报告。
-
VirusTotal - 使用此操作可提交文件至外部进行分析。
-
Google - 使用此操作可在线搜索文件的哈希值。
-
-
修复措施 显示由 GravityZone 自动执行的威胁缓解措施及可选操作信息。
注意
可执行的操作范围可能因当前订阅计划包含的许可证类型而异。
-
终止进程 - 使用此操作可停止进程执行。该操作会在进程执行栏生成可见的终止进程任务。
System32和 Bitdefender 进程不受此操作影响。 -
隔离文件 - 使用此操作可隔离目标文件并阻止其执行负载。此操作需在目标终端安装防火墙模块。
-
将文件加入阻止列表 - 在 阻止列表 页面。
-
添加文件为例外 - 使用此选项可在特定策略中排除合法活动。选择此操作时,配置窗口会提示您选择要添加例外的策略。在 策略 > 反恶意软件 > 设置 .
-
本部分还针对所选节点上检测到的每个警报提供详细建议,以帮助您缓解事件并提高环境的安全级别。
-
-
进程信息 显示所选进程节点的详细信息,包括进程名称、执行的命令行、用户、执行时间、文件来源与路径、哈希值或数字签名。
在本部分,您可以通过点击 哈希 字段中提供的哈希算法,将项目哈希值复制到剪贴板,并将其添加到 阻止列表 .
注意
更多信息请参阅 文件阻止列表 .
该 文件 节点详情面板包含四个部分:
-
警报 显示所选节点上触发的一个或多个检测,包括将该实体纳入事件的 Bitdefender 技术详情、触发检测的原因、检测名称及检测日期。每个警报描述均遵循最新MITRE标准。针对所选节点检测到的每个警报,均提供详细建议以协助您处理事件并提升环境安全等级。
-
调查 显示首次检测时间戳及发现该元素的所有终端。
要查看此列表,请点击 终端 字段中显示的数字,将弹出新窗口。
本部分还通过内部组件和第三方解决方案提供外部分析。
可执行以下操作:
-
添加到沙箱 - 使用此操作生成沙箱分析报告。
选择 添加到沙箱 系统将弹出确认文件提交的界面。
确认后,您将被自动重定向至提交界面。
分析完成后,点击 查看沙盒分析报告 按钮即可打开完整报告。
-
VirusTotal - 使用此操作可将文件提交至外部进行分析。
-
Google - 使用此操作可在线上搜索文件的哈希值。
-
-
修复措施 显示由 GravityZone 自动执行的威胁缓解措施及可采取的操作信息。
注意
可执行的操作范围可能因当前订阅计划包含的许可证类型而异。
-
隔离文件 - 使用此操作可将目标项目隔离存储,阻止其执行有效载荷。此操作需在目标终端安装防火墙模块。
-
将文件加入阻止列表 - 在 阻止列表 页面管理被阻止项目。
-
添加文件为例外 - 使用此选项可在特定策略中排除合法活动。选择此操作时,配置窗口将提示您选择需添加例外的策略。通过 策略 > 防病毒 > 设置 .
-
-
文件信息 显示所选文件节点的详细信息,包括文件来源、路径、哈希值或数字签名。
在本区域中,您可以通过点击 哈希值 字段中的哈希算法将项目哈希值复制到剪贴板,并将其添加至 拦截列表 .
注意
:更多信息请参阅 文件拦截列表 .
该 注册表 节点详情面板包含三个部分:
-
警报 显示注册表操作严重性(由 Bitdefender 技术标记,该技术将此实体纳入事件)、触发检测的原因、检测日期及注册表类型。
-
修复 显示由 GravityZone .
注意
注册表节点的 修复 部分不提供任何用户操作选项。
-
注册表信息 显示所选注册表节点的详细信息,包括注册表键、键值与数据。
可点击注册表键或键值将其复制到剪贴板以供进一步分析。
搜索栏
该 搜索栏 具备两项功能:
-
搜索节点 。点击后
搜索栏将展开,可输入信息并在图中搜索特定节点。
-
事件触发器 。直达触发警报的节点链接。
事件
通过 事件 选项卡可查看事件序列如何演变为触发当前调查的事件。此窗口显示由 GravityZone 技术(如EDR、网络攻击防御、异常检测、高级反漏洞利用或Windows反恶意软件扫描接口(AMSI))检测到的相关系统事件和警报。
注意
检测过程中涉及的技术可用性可能因当前计划包含的许可证而异。
每个事件都有详细说明,根据最新的MITRE技术和战术,解释检测到的内容以及如果该工件被用于恶意目的可能发生的情况。
使用筛选选项显示所有事件,或按Att&ck战术分组。您还可以在预定义事件类别后使用搜索栏查找事件。网格中填充了排序后的事件。
选择网格中的任何事件以打开其侧面板并分析主要攻击指标,如命令行、网络详细信息或其他特定信息。
EDR响应
该 响应 页面提供默认的智能视图,可用于访问需要立即关注的操作、显示具有特定状态(如进行中、已完成或已驳回)的操作的页面,或与特定事件关联的所有响应列表。
所有操作均以动态网格形式提供,具有多种筛选和排序选项,如按操作类型、对象、目标、状态等筛选。
提供多列,包含以下信息:
-
类型 - 正在采取的操作类型。可能的值:
-
遏制 -
缓解 -
加固
-
-
操作 - 正在采取的操作名称。
-
对象 - 正在对其采取操作的实体或资源的名称。
注意
如果对象是终端,名称是可点击的链接,将打开 终端详情 面板。
-
目标 - 对其采取操作的实体类型。可能的值:
-
端点 -
文件 -
进程 -
注册表
-
-
详情 - 提供与所执行操作相关的附加信息。
-
执行于 - 操作触发的日期。若操作是自动响应的结果,则显示端点报告的日期。
-
执行者 - 标明执行操作的人员。
-
来源 - 标明操作的发起位置。
事件信息
该面板包含可折叠区域,其中包含事件ID、当前状态、事件创建与最后更新时间、涉及构件数量、触发器名称与描述、攻击信息等详情。
提示
通过此部分可访问扩展事件,其中可能包含当前端点事件。
面板还包括触发事件的元素上检测到的警报。
事件状态栏
事件状态栏提供安全事件标签,可帮助识别相关网络端点的关键信息。
备注剪贴板
该 备注 剪贴板提供了一种简便的方式,可为事件添加备注以追踪变更和事件归属。
显示备注
要查看可用备注列表,请点击 备注 状态栏右侧的按钮:
注意
每条备注旁将显示创建者的用户名。若用户属于合作伙伴公司,则会显示
合作伙伴
名称代替。
添加备注
添加备注请按以下步骤操作:
-
点击 添加备注 剪贴板左下角的按钮。
-
填写备注信息。
注意
每条备注最多可包含50,000个字符。
-
选择 保存 .
注意
批量操作时,将为所有事件批量添加一条统一备注。
编辑备注
编辑备注请按以下步骤操作:
-
选中需编辑备注右侧的 菜单 按钮。
-
选择 编辑 .
-
进行必要的修改:
备注
每条备注最多可包含50,000个字符。
-
选择 保存 .
备注
若要取消编辑备注,请点击 取消 ,然后选择 放弃 .
删除备注
要删除备注,请按以下步骤操作:
-
选择要删除备注右侧的 菜单 按钮。
-
选择 删除 .
注意
此选项仅适用于您自己的备注。
-
再次选择 删除 。
历史剪贴板
该 历史记录 面板提供了一种简便的方式来跟踪事件的历史记录。以下事件会被追踪:
-
状态变更
-
分配或重新分配事件
-
事件优先级设置或变更
-
事件备注添加、编辑或删除
-
创建事件
-
更新事件
列表按时间顺序显示,从底部最新到顶部最旧:
每个事件将包含以下信息:
-
事件类型
-
事件描述
-
事件发生的日期和时间
注意
-
该 创建 事件还会显示 严重性评分 事件的 更新 事件会显示事件的新 严重性评分 ,使安全分析师能够发现事件严重性的增加,这可能表明组织风险更高。
-
某些事件,如 分配 , 状态变更 和 优先级变更 ,还包括执行操作的用户详细信息。
远程连接
先决条件
要能够通过远程连接在终端上启动会话,请确保满足以下条件:
-
终端上安装的 Bitdefender 代理版本支持远程连接功能。
-
终端已开机并在线。
-
终端运行Windows操作系统。
-
GravityZone 能够与该终端通信。
-
您的 GravityZone 账户对目标终端具有管理权限。
启动远程连接
要通过远程连接访问终端,请按以下步骤操作:
-
前往 事件 页面。
-
点击要调查的终端事件。
-
在其关系图中,点击需要连接的终端节点。
右侧将显示详细信息面板。
-
点击详细信息面板中的 远程连接 按钮。
随后将显示 远程连接 窗口。
-
点击 连接主机 即可建立远程连接,直接在涉事终端上进行调查和操作。
-
在终端会话中,您可以直接在终端的操作系统上运行多种自定义shell命令,用于即时清除威胁或收集数据以供进一步调查。
-
点击 连接至主机 按钮启动实时会话。
连接状态将显示在端点名称旁。
-
若连接失败,终端窗口将显示错误信息。
注意
同一端点最多可同时开启五个终端会话。
-
-
连接成功后,终端将显示可用命令列表及其描述。
在终端窗口输入所需命令后按
Enter.注意
输入
help加命令名称可查看详细说明(例如helpps). -
命令执行成功后,终端将显示输出结果。
-
若端点未能完成命令执行,该命令将被丢弃。
-
-
点击 结束会话 按钮可终止连接。
终端会话在五分钟无操作后自动过期。
连接端点时若切换至远程连接标签页之外的其他页面,也会终止终端会话。
终端会话命令
EDR终端会话命令采用通用语法构建,是与平台无关的自定义shell命令。以下列出可通过终端会话在端点上执行的可用命令:
取证数据收集
从受事件影响的终端节点收集额外信息是一项劳动密集型的体力活,通常会干扰SOC团队的调查工作,并导致威胁缓解和遏制的延迟。 收集调查包 功能可加速取证证据的收集过程 您管理的任何公司的环境 无需直接与涉及事件的终端节点交互。
注意
要访问 收集调查包 功能(适用于您管理的公司),需满足相同 要求 。
该功能兼容以下操作系统:
-
Windows
-
Linux
-
Mac
调查包先决条件
要从终端收集取证数据,需满足以下条件:
-
您的公司必须拥有有效的 EDR或XDR许可 .
-
GravityZone 用户账户需启用 管理网络 权限。详情请参阅 用户权限 .
-
使用GravityZone凭证登录的用户需启用 双因素认证(2FA) 。通过 第三方单点登录(SSO)集成 登录的用户无需2FA即可使用该功能。
-
目标终端必须保持开机并在线。
收集调查包
您可根据任务需求采用不同方式收集调查包:既可选择属于某 XDR 事件,或从网络资产清单中选择受管端点。
-
在 事件 页面中,从网格中选择需要进一步调查的扩展事件或端点事件,并打开 图谱 视图。
-
在 图谱 中,选择涉及事件的端点节点,点击 收集调查包 开始编译包含取证数据的存档。
注意
若按钮不可用,将显示提示信息说明原因。详见 调查包先决条件
系统将通过弹窗提示数据收集请求已成功创建。
-
点击 查看可用调查文件 链接可访问端点详情页面并跟踪进度。
-
可查看当前收集进程(进行中的活动状态显示为 待处理 )及过去24小时内其他数据收集活动。
注意
被用户取消或因各种原因未能完成的收集活动状态标记为 失败 .
数据收集成功完成后,操作状态将变更为 已完成 ,且包含所收集取证工件的归档文件可供下载。
-
点击 下载文件 位于 操作 列中的按钮,即可将归档文件下载至本地并分析所收集的数据。
注意
如需了解调查包中收集的数据类型详情,请参阅 调查包数据 .
-
在 网络 页面中,选择需要收集取证数据的托管终端并打开其详情页。
-
转至 调查 标签页,点击 收集调查包 即可开始编译包含取证数据的归档文件。
注意
若按钮不可用,将显示提示信息说明操作不可用的原因。详情请参阅 调查包先决条件
系统将通过即时消息通知您数据收集请求已成功创建。
您可在 调查文件活动 网格中追踪其进度。
-
您可以查看当前收集进程(进行中活动的状态显示为 待处理 ),以及过去24小时内执行的其他数据收集活动。
注意
被用户取消或由于各种原因未能完成的数据收集活动,其状态显示为 失败 .
当数据收集过程成功完成后,操作状态将变为 已完成 ,并且可下载包含收集到的取证工件的存档文件。
-
点击 下载文件 在 操作 列中,即可将存档下载至本地并分析所收集的数据。
注意
如需了解调查包中收集的数据类型详情,请参阅 调查包数据 .
搜索安全事件
历史搜索
概述
通过 搜索 > 历史 选项卡,您可以使用复杂的搜索条件查找过去的安全事件。您可以通过前往 GravityZone 的 配置 > 原始事件 .
该标签页包含以下主要区域:
-
查询编辑器:在此处可使用建议字段和规则构建查询,相关规则详见 XDR 查询语言 页面。
-
筛选器 区域:可调整这些选项以指定显示事件的公司和时间范围。
-
清除 按钮:清除查询编辑器中的所有文本。
-
运行查询 按钮:执行查询编辑器中构建的查询。
-
可定制表格:显示查询结果。列宽可调整,列顺序可重新排列。
注意
该表格会保留最近使用的智能视图(跨会话有效)。当再次打开 历史 > 搜索 标签页时,将恢复之前的查询结果。
-
视图选项 菜单:此部分提供多种智能视图操作功能:
-
另存为 :以不同名称保存修改后的智能视图。
-
保存 :保存对已存储智能视图的更改。
-
放弃更改 :将智能视图恢复至上次保存的版本。
-
添加到收藏夹 :将智能视图添加至 收藏夹 分类。
-
导出视图 :将查询结果表格导出为CSV文件。
-
隐藏筛选器 (或 显示筛选器 ):隐藏或显示时间范围与企业筛选器。
-
打开设置 :显示 设置 面板。您可通过此面板自定义视图中显示的列,并启用或禁用 紧凑视图 .
-
刷新数据 :重新获取查询结果。
-
-
“ 智能视图 ”面板:存储查询结果及自定义表格配置。视图分为四类以便浏览切换:
-
最近 :最近执行的25条查询
-
已保存 :所有已保存的智能视图
-
收藏夹 :所有被标记为收藏的智能视图
-
默认 :预置查询(展示如何运用不同 XDR 查询语言功能
提供六个默认智能视图:
-
所有事件
-
高严重性警报
-
未采取措施的警报
-
远程网络连接
-
高风险终端行为
-
演示模式
注意
演示模式 提供一组模拟事件,可用于测试 历史搜索 功能,即使端点无可用数据。
-
面板顶部的搜索栏可按名称查找智能视图。
-
运行查询
运行查询步骤:
-
在查询编辑器中输入查询字符串。输入时将自动显示字段名称、值及操作符建议。
提示
-
如需字段名称建议,请打开 帮助器 (快捷键 Ctrl + / .
-
如需值建议,请打开 自动补全 (快捷键 Ctrl + 空格 .
-
如需字段可用性或语法帮助,请使用 语法帮助 .
-
您可以使用嵌套查询构建复杂搜索。
-
-
使用 日期 筛选器设置时间范围:
-
点击筛选器。
-
指定搜索时间范围:
-
要定义特定日期范围,请选择 自定义 ,然后从日历中选择开始和结束日期。或者,您可以使用以下预定义间隔: 最近24小时 , 最近7天 , 最近30天 .
-
使用 起始 和 结束 时间选择器设置确切的开始和结束时间的小时与分钟。
重要提示
原始事件和 EDR / XDR 警报的默认保留期不同:分别为0天和90天。您可以延长此期限。完整信息请参阅 保留策略 页面。
-
-
点击 应用 .
-
-
点击 运行查询 .
查询结果将显示在可自定义的表格中。
重要提示
GravityZone 控制中心 最多可显示10,000条事件记录。
若查询结果超过10,000条事件,系统将弹出提示,此时需优化搜索条件。
优化搜索条件
若初始查询结果过多,可通过以下方式优化搜索条件:您可在查询编辑器中手动添加信息,或利用事件详情面板。通过面板优化搜索的步骤如下:
-
在结果表格中选择任意事件以展开详情面板。
-
在 表格 标签页中,点击
需添加字段末尾的搜索图标。
-
选择所需运算符。
字段-值组合将自动添加至查询编辑器。
-
选择 运行查询 .
优化后的查询结果将显示在可自定义的表格中。
注意
事件详情面板还包含 JSON 标签页,该标签页仅对 EDR 和 XDR 警报,通过以下键值对标识:
-
other.event_type:alert用于 EDR 警报 -
other.event_type:xalert用于 XDR 警报
该标签页包含与该特定警报相关的更多信息。您无法在此标签页中优化搜索,但可以通过点击 复制到剪贴板 复制所有数据。有关所有可用JSON字段的详细列表,请参阅 JSON字段 .
智能视图
该 历史搜索 功能支持保存智能视图以供后续使用。
您还可以编辑、删除或重命名先前保存的智能视图。
保存新智能视图
要保存新的智能视图,请按照以下步骤操作:
-
按照 ??? 部分描述的步骤运行所需查询。
-
可选:您可以通过重新排列和调整列宽,或打开 设置 面板并配置列可见性来自定义结果表。
-
点击 另存为 按钮位于页面右上角。
此时将显示以下对话框:
-
为您的智能视图输入名称。
-
点击 保存 .
您的智能视图将显示在 已保存 分类下的 智能视图 面板中。
注意
该 另存为 功能包含表格自定义设置,例如列重排、尺寸调整及在 设置 面板中定义的可见性配置。
编辑已保存的智能视图
要编辑已保存的智能视图,请按以下步骤操作:
-
从 已保存 或 收藏夹 区域中选择目标智能视图,该区域位于 智能视图 面板内。
结果表格将随即显示。
-
对智能视图进行必要修改。您可在查询编辑器中编辑查询语句,或通过重排列等方式自定义表格。
-
点击 保存 页面右上角的按钮。
重要提示
-
该 保存 功能包含表格自定义设置,例如列重排、调整大小以及在 设置 面板中定义的可见性设置。
-
最近和默认的智能视图为只读状态。若要保留任何编辑内容,必须将其另存为新的智能视图。
删除已保存的智能视图
要删除已保存的智能视图,请按以下步骤操作:
-
在 智能视图 面板中,点击
要删除的智能视图旁边的垂直省略号。
-
选择 删除 .
将显示以下对话框:
-
点击 删除 以确认选择。
重要提示
仅可删除已保存和收藏的智能视图。
重命名已保存的智能视图
要重命名已保存的智能视图,请按以下步骤操作:
-
在 智能视图 面板中,点击
要重命名的智能视图旁边的垂直省略号。
-
选择 重命名 .
-
为您的智能视图输入新名称。
-
点击
勾选图标以确认操作。
重要提示
仅可对已保存和收藏的智能视图进行重命名。
实时搜索
概述
通过实时搜索功能,您可以使用Osquery(一种采用SQLite查询语言的操作系统检测框架)直接从在线终端获取事件信息和系统统计数据。
先决条件
使用实时搜索前,请确保满足以下要求:
-
为实现 GravityZone 控制中心 与终端间的安全通信,目标终端的企业防火墙需允许访问DigiCert服务器的流量。
重要提示
-
可能需要配置防火墙规则以允许必要通信。需加入白名单的网址示例:
-
http://crl3.digicert.com -
http://crl4.digicert.com -
http://ocsp.digicert.com
-
-
需确保网络可访问DigiCert服务器,以便自动下载用于验证 GravityZone 服务器证书的吊销列表。
-
无需提供自定义证书,终端将自动使用DigiCert签发的证书。
-
-
若目标端点所属公司使用MITM解决方案解密流量或在端点与 GravityZone 之间执行证书锁定,则需允许通过443端口出站访问以下 GravityZone 服务端点:
-
cloud-wbs-endpoints.gravityzone.bitdefender.com -
cloudap-wbs-endpoints.gravityzone.bitdefender.com -
cloudgz-wbs-endpoints.gravityzone.bitdefender.com
-
-
目标端点策略中的 实时搜索 功能已启用,该选项位于 实时搜索 部分。
重要提示
-
启用此模块会触发端点安全代理的重新配置。此重新配置将启动代理更新,使其升级至最新可用版本或按照策略中 常规 > 代理 > 更新 > 更新环 .
-
实时搜索仅能通过设备类型策略启用,无法通过基于规则的策略启用。
-
-
目标端点运行64位操作系统。
-
目标端点受BEST保护,最低版本要求:
-
Windows:7.6.1.202
-
Linux:7.0.3-2085
-
macOS:7.8.16.200024
-
-
您需具备以下权限:
-
管理网络
-
高级调查
-
-
若目标终端位于您所属公司之外的其他托管公司,则从您公司到目标终端公司之间的整个 网络 树中所有托管公司,均允许合作伙伴协助安全管理。
-
若目标终端位于您公司内,您可访问整个网络。
使用实时搜索
您可通过以下路径访问该功能: 事件 > 搜索 并选择 实时 标签页。
该页面包含以下元素:
-
查询 面板,包含:
-
搜索 选项 - 可按标题进行搜索。
-
最近 - 显示最近执行的25条查询。
-
已保存 - 该用户保存的所有查询列表。
-
预定义 - 默认提供给所有客户的查询列表。
-
精选 - 由安全分析师挑选的预定义查询集。
-
-
筛选器部分,包含:
-
公司 - 对特定公司的终端执行查询。
-
操作系统 - 根据终端操作系统执行特定查询。
-
标签 - 根据终端GravityZone标签执行特定查询。
-
终端名称 - 对指定公司的特定终端执行查询。
-
-
保存 - 保存当前查询的更改。
-
另存为 - 创建新查询时使用。
-
放弃更改 - 将查询恢复到最后保存状态。当查询或筛选条件与保存状态不同时,此选项可用。
-
重置筛选器 - 撤销所有对筛选器的更改。当修改一个或多个筛选值时,此选项激活。
-
下载图标 - 用于将查询结果下载为.CSV文件。
-
信息图标 - 显示表格侧边栏。
-
清空 - 清除输入框内所有文本
-
运行查询 - 执行当前选定的查询。
-
查询文本 - 在此编写查询语句。
-
查询结果 - 已执行查询的结果集。
-
调整大小 按钮 - 用于调节搜索区域尺寸。
-
页码及每页显示条目数
-
刷新 按钮
-
元数据详情 ——提供查询运行成功程度的额外细节。此部分始终显示在底部,即使没有结果存在。
创建新查询
您可以通过以下任一方式创建新查询:
-
通过输入查询指令
首次进入 实时 标签页时(登录 GravityZone 后),默认会显示一个空白查询。
-
输入查询指令。
-
点击屏幕右上角的 保存 按钮。
-
为新查询输入名称。
-
点击 保存 .
该查询现在会显示在 已保存查询 .
-
-
通过编辑现有查询
-
选择需要修改的查询。
-
更改该查询的指令。
-
点击屏幕右上角的 另存为 按钮。
-
为新查询输入名称。
-
点击 保存 .
查询现在显示在 已保存查询 .
-
运行查询
要运行查询,请按照以下步骤操作:
-
在屏幕左侧的 已保存查询 .
-
选择 运行查询 .
根据查询的复杂性和网络规模,可能需要几分钟才能返回所有结果。在数据收集期间,会显示 进行中 消息和计时器,且 运行查询 按钮将被禁用,直到所有数据收集完成。
注意
查询结果从每个终端收集的最长时间为2分钟,超时后将停止收集。如果所有终端在超时前返回有效数据,查询将提前完成。查询运行时,“运行查询”按钮和元数据部分不可用。
根据查询类型返回结果:
仅自动显示首批结果。表格每5秒自动检查新结果,直到查询完成。可手动点击刷新按钮更新结果。刷新结果表格时,元数据也会同步更新。
查询结果保留30分钟,超时后自动删除。查询说明和结果之间显示倒计时器。
注意
可使用屏幕右上角的
按钮将查询结果下载为.CSV文件。
读取元数据详情
此部分默认折叠,包含以下数据:
-
状态 - 查询的当前状态:
-
进行中 - 查询正在运行。
-
已完成 - 查询已执行完毕。
-
不适用 - 未运行查询或结果已过期。
-
-
响应端 - 已响应查询的端点数量。
-
总端点 - 被查询的端点总数。
展开后显示以下信息:
-
查询名称 - 元数据详情始终附带查询名称。
-
分配标签 按钮
-
筛选区包含:
-
状态 筛选器:
-
全部
-
超时
-
成功
-
错误
-
连接失败
-
-
发送行数 筛选器:
-
全部
-
无结果
-
结果可用
-
-
-
端点 - 端点名称。
-
查询执行时间 - 查询在该端点运行的时长(毫秒)。
-
可用行数 - 该端点查询返回的总行数。
-
发送行数 - 已包含在结果中的行数。
-
状态 - 该特定端点查询的状态。
-
错误信息 - 查询时端点返回的错误信息。
注意
元数据中列出的信息仅保留24小时。您可以使用
屏幕右上角的按钮将查询结果下载为.CSV文件。
编辑查询
编辑查询请按以下步骤操作:
-
选择要修改的查询。
-
更改查询语法。
-
点击 保存 屏幕右上角的按钮。
注意
预定义查询不可修改。请使用 另存为 按钮创建新查询。
-
点击 保存 .
查询修改已保存。
删除查询
删除查询请按以下步骤操作:
-
在屏幕左侧的 已保存查询 .
-
点击要删除查询对应的垂直省略号按钮。
-
选择 删除 .
重命名查询
重命名查询需按以下步骤操作:
-
在屏幕左侧的 已保存查询 .
-
点击要重命名查询对应的垂直省略号按钮。
-
选择 重命名 .
-
输入查询的新名称。
-
点击 确定 按钮。
表格面板
您可通过表格侧边面板检查数据库架构,并搜索可用表格和字段。
该功能通过查询文本框右上角的信息图标进入。
面板包含以下元素:
-
了解更多 - 该链接将跳转至可用文档。
-
搜索 栏 - 可通过完整或部分名称搜索表格或列。
-
所有平台 筛选器:
-
所有平台
-
macOS
-
Linux
-
Windows
-
-
显示的项目数量。
-
搜索结果 - 可折叠显示表格内容的多张表格
查询结果限制
以下限制适用于所有查询结果:
-
每次查询最多返回50,000行数据。
-
每个终端每次查询最多返回1,000行数据。
-
单个终端的行数结果不会重新分配给未达到行数限制的其他终端结果。
-
实时搜索不支持Osquery事件表。
-
单个终端上的查询将在30秒后自动超时,此时间不包括结果处理时间。
适用条件
该功能适用于已获得 GravityZone商业安全企业版 或 按需 EDR 云服务
提交反馈
您可以通过发送电子邮件至 xdr-eap@bitdefender.com .
XDR 查询语言 查询语言提供了词汇(字段和运算符)及语法,帮助您构建查询。
要在平台内获取语法相关信息,请点击搜索栏内的
图标。
字段