追踪功能
用户可以使用追踪功能对 IP、端口、会话关系等目标进行持续关注、标签备注、分组管理以及自定义告警。追踪页面针对于追踪目标提供查询筛选、追踪列表展示、安全事件关联、资产信息关联等功能。
查询筛选
通过右上角的控制栏可以选择端口数据的时间范围和采集环境。页面上部提供丰富的过滤条件。其中包括:设备查询、追踪分组、事件命中、告警配置、是否产生流量、协议、方向等。设备查询支持模糊查询和精准查询两种方式。
追踪列表展示
追踪列表展示符合查询筛选条件的追踪目标。除了追踪条目本身信息外,还展示相关安全事件、告警配置以及流量信息,并提供数据导出、新增追踪、编辑追踪、删除追踪以及追踪安全事件配置的快捷操作。
数据导出
1)选择将要导出的数据,或者不选择数据,点击“导出数据”。
2)在弹窗中选择文件类型与字段内容即可。
3)点击“导出”。
快捷配置
单条添加
- 点击“新增追踪条目”,触发新增弹窗。
- 输入信息后,点击“下一步”。
- 二次确认后,点击“提交”。
批量新增
- 点击“批量新增”,触发批量新增弹窗。
- 点击“xlsx模板或csv模板”下载对应格式模板。
- 编辑模板后,点击弹窗中间区域选择文件,或拖拽文件至中心区域。系统开始自动检测数据的合法性。
- 点击“导入”。
编辑追踪
- 点击编辑目标右侧操作列的“更多”。
- 点击“修改”,出现编辑弹窗。
- 修改内容后,点击“下一步”。
- 二次确认后,点击“提交”。
删除追踪
- 点击删除目标右侧操作列的“更多”按钮。
- 点击“删除”,触发删除确认框。
- 点击“确定”。
配置安全告警
- 点击配置目标右侧告警配置列的“设置”按钮,出现选择菜单。注意,当内容为“-”时不可操作。
- 在选择菜单中选择新增或者编辑已有的配合,出现配置弹窗。
- 配置结束后。点击“提交”。
扩展信息
点击追踪条目行列,追踪表格会展开显示追踪目标的扩展信息。其中包含起本信息、安全事件信息以及活跃资产信息。
设备基本信息
将追踪目标拆为四部分,可以查看对应的地理位置、运营商、经纬度、系统标签、端口描述等信息。
安全事件信息
系统会自动将安全事件与相关的追踪目标关联一起,并提供分类展示。在事件页面也可以通过追踪条目筛选找到对应安全事件。点击“查看事件列表”,可跳转至事件页面。
活跃资产信息
可以查看追踪条目中,追踪目标端的活跃资产信息,包括IP、端口、网站以及URL。还可以查看端口上检测到的服务、中间件、操作系统、设备/应用系统等信息。
