分以下幾類講，天眼的功能，日志分析字段，常見的爛分析，告警分析。兩個實例；ngsoc的簡單實用和告警分析。

#天眼功能

分為，分析平臺，流量傳感器，文件威脅鑒定器

#部署架構(gòu)

高級危險檢測，溯源的產(chǎn)品。提供了發(fā)現(xiàn)，分析，溯源這三個功能，

主要發(fā)現(xiàn)網(wǎng)絡(luò)攻擊事件，結(jié)合其他安全設(shè)備，去進行即使阻斷網(wǎng)絡(luò)攻擊；并對攻擊成功的事件進行一個溯源分析；

天眼這個還可以其他設(shè)備進行聯(lián)動的，比如天擎的ed聯(lián)動。

一種云的服務(wù)，流量傳感器和文件威脅鑒定器，分析平臺和云端的威脅情報服務(wù)。

流量傳感器：接受流量的鏡像還原成一個流量日志（全量還原），為天眼系統(tǒng)提供全流量的數(shù)據(jù)來源和數(shù)據(jù)的輸入；

分析平臺：存儲全量的日志和一個分析結(jié)果，提供面向客戶的業(yè)務(wù)和交互式的頁面。

文件威脅鑒定器：和流量傳感器進行一個聯(lián)動，去流量傳感器上面的文件去配合檢索引擎進行文件的一個告警分析。

#部署場景

?這是br結(jié)構(gòu)。流量傳感器就是通過接受用戶的流量的鏡像，提供網(wǎng)絡(luò)異常的一種檢測，提供一個系統(tǒng)統(tǒng)一管理接口，用戶可以訪問瀏覽器直接打開。文件威脅鑒定器就是沙箱和傳感器進行聯(lián)動，收集日志，采用多種混合檢測引擎產(chǎn)生告警。分析平臺也是對傳感器聯(lián)動，統(tǒng)一的管理和日志告警分析。

#大概流程

第一步就是探針，傳感器從數(shù)據(jù)源上采取數(shù)據(jù)，然后進入第二部檢測，進行一些檢測，文件就用沙箱檢測，再搭配上二十多種機器學(xué)習(xí)的行為，從而達到精確事件和新的事件線索；進行一個調(diào)查的的分析溯源一個攻擊鏈。

#設(shè)備介紹-流量傳感器

?主要對網(wǎng)絡(luò)流量進行一個解碼，還原出一個真實的網(wǎng)絡(luò)流量，提取的是網(wǎng)絡(luò)層，傳出層，應(yīng)用層的同步信息，復(fù)雜信息，同時對流量中文件進行還原，這些信息通過加密通道發(fā)送到分析平臺或威脅鑒定器統(tǒng)一的處理，在ipv4，ipv6的網(wǎng)頁下支持主流的發(fā)郵件等高性能的分析。

#天眼流量傳感器界面

?#狀態(tài)監(jiān)聽界面

這個頁面的初始頁面什么都展示，然后可以自己選擇展示那些，勾選，點擊刷新顯示最新的數(shù)據(jù)，支持自動刷新。

設(shè)備連接狀態(tài)是和其他的設(shè)備（分享平臺，文件威脅鑒定器等等）是什么狀態(tài)，鏈接還是斷開，數(shù)量多少。

設(shè)備列表，展示配置，分享平臺等等的數(shù)據(jù)狀態(tài)，服務(wù)器地址，連接的狀態(tài)，和其他的比如系統(tǒng)信息包括序列化，系統(tǒng)版本，規(guī)則版本，可以進行版本更新

授權(quán)信息，展示客戶的證書，包括客戶的名稱，有效期等等

資源占用，系統(tǒng)cpu，內(nèi)存，磁盤的使用狀態(tài)

#威脅告警-告警列表

?進行告警分析用到這個模塊，通過里面的告警點開詳情進行一個分析，可以輸入添加過濾告警，支持查詢的條件緩存到一個歷史記錄，并且將某條記錄添加到，根據(jù)各種 組合能查到相對于的告警統(tǒng)計圖，有很多圖形，根據(jù)自己設(shè)定的條件。

#規(guī)則配置?分為四個模塊，網(wǎng)頁漏洞利用，webshell上傳，網(wǎng)絡(luò)攻擊，自定義規(guī)則。其中三個模塊網(wǎng)頁漏洞利用，webshell上傳，網(wǎng)絡(luò)攻擊，這里就是預(yù)制了一些規(guī)則，點開詳情去看怎么命中的以及詳細信息，下面以及有自定義規(guī)則?？梢宰约号渲?img src="https://imgs.yssmx.com/Uploads/2023/07/559962-10.png" alt="天眼的使用指南，ngsoc告警分析,網(wǎng)絡(luò)" referrerpolicy="no-referrer" />

?威脅情報，我們可以添加域名，請求的ioc，如果這個ioc是惡意的，如果在威脅平臺上面是惡意的，但是在這里沒有告警，就可以添加進去

#規(guī)則配置

1. ?導(dǎo)入的話是上面那三種格式，導(dǎo)出的話可以進行一個全部的導(dǎo)出。導(dǎo)入的話寫很多ioc啊選擇好一個格式啊進行導(dǎo)入。

?提供了開啟和關(guān)閉的功能，還能配置一些高級參數(shù)，弱口令自己輸入字典，其他的啟停操作，檢測，啟動了才能檢測，

目錄

#部署場景

?因為流量經(jīng)過不同設(shè)備，或代理調(diào)整，ip可能被替換，所以會有xff配置，開啟就會去識別真正的源ip，

#弱口令

?弱口令檢測功能支持很多協(xié)議，支持通過告警中明源顯示弱口令開關(guān)，控制是否在告警中明源顯示弱口令信息，導(dǎo)入字典支持txt格式。

#流量記錄

?流量負載記錄，支持tcp，udp等等流量上下行的負載長度，默認是開啟狀態(tài)，預(yù)制提供了一百，五百，一千的三種選項，不提供自定義

流量過濾，提供了指定ip，ip段流量的過濾，提供高級過濾，支持提供dpf，端口，ip，mac過濾，支持流量的導(dǎo)入導(dǎo)出功能，默認是關(guān)閉的，

#文件還原

?默認是開啟，有88中文件類型可以還原，自己選擇，默認大小是50mb，也可以自定義，配置好之后要點擊保存。

#抓包檢測

?抓包只支持pcap的包，然后還要完成三次握手的，不然抓不全是沒有告警的，導(dǎo)入上線是1g，單個數(shù)據(jù)包最大是500mb，導(dǎo)入的數(shù)據(jù)包里面流量日志，和告警都會發(fā)到分析平臺，里面有文件也讓會還原后發(fā)送到文件威脅鑒定器的。

#旁路阻斷

?默認配置。別亂搞了

#ssl解密

?這個 因為https是加密的流量抓了之后也不會告警，就要解密一下，導(dǎo)入證書，之后再去按照正常流程。

#白名單配置

是為了應(yīng)對一些正常的業(yè)務(wù)請求被告警的適合，放到白名單里面

?系統(tǒng)管理是對流量傳感器的管理，里面包括了很多東西，圖中有的那些都可以配置，然后點保存。

#系統(tǒng)管理-升級配置

建議自動升級。

#系統(tǒng)管理-數(shù)據(jù)傳輸設(shè)置

?它可以引用其他的模塊，例如分析平臺，和文件威脅鑒定器，之后新增ip和端口，設(shè)定好他是什么，再配置外發(fā)上面數(shù)據(jù)，告警，日志等等。

#系統(tǒng)管理-snmp配置

?這個管理支持三個配置，配好v3才可以啟動snmp trap，他由兩個組成，連接性配置，消息內(nèi)容的設(shè)置。

#系統(tǒng)管理-安全性設(shè)置

?安全性設(shè)置可以配置登錄設(shè)置，數(shù)據(jù)傳輸加密，敏感操作密碼，單點登錄密鑰。

傳數(shù)據(jù)加密

?可以搭配分析平臺，Hadoop平臺，等一些聯(lián)動設(shè)備發(fā)送數(shù)據(jù)時加密，默認為aes256加密，然后密鑰也有加密，默認為空，需要自己配置，密鑰加密后對端的密鑰也要加密才能進行數(shù)據(jù)傳輸。

敏感密碼操作

?提供對弱口令的銘文展示，可以自己修改敏感操作密碼。

?配置免密登錄，直接登入聯(lián)動的平臺。

?對用戶的權(quán)限管理。

?操作審計，可以進行導(dǎo)出的，在篩選好條件篩選完之后進行一個導(dǎo)出，最多導(dǎo)出十萬條。

?導(dǎo)航就是可以去找自己想去的模塊。文章來源地址http://www.zghlxwxcb.cn/news/detail-559962.html

到了這里，關(guān)于天眼的使用指南，ngsoc告警分析的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！