secfox-sas-安全审计系统用户帮助手册v0

secfox-sas-安全审计系统用户帮助手册v0内容摘要：

成实 时分析组的修改后，实时分析管理树结构会及时刷新， 树结构上 修改后的节点 会 显示为新修改的名称。 删除实时分析组 在进行删除实时分析组操作前，用户需要先指定某一个实时分析组。 鼠标选定该实时分析组节点， 点击实时分析组管理 树上方 的工具条 中 的 【删除实时分析组】 按钮，完成实时分析组 的删除 操作。 实时分析管理树结构及时刷新， 不 再 显示已经删除的 实时分析组 节点。 实时分析场景管理 实时分析场景 就是管理员根据不同的需要设置的实时分析统计条件。 在实时分析管理树上显示为叶子节点。 通过鼠标点击场景，可以在功能显示页面查看不同设置条 件下的事件实时分析统计数据。 除了系统内置的五个实时分析场景外，其他的场景都可以在场景列表中 进行 添加、修改、删除 操作。 网御神州科技 （北京） 有限公司 SecFox 安全审计系统用户帮助手册 22 显示实时分析场景列表 所谓实时分析场景列表，指的是在某一个实时分析组下的所有实时分析场景列表数据。 查看某一个实时分析场景列表，就意味着查看某一个实时分析组下的所有场景数据。 鼠标点击 预备查看 的 实时分析组节点，右侧功能显示页面 会及时 显示该实时分析组下的实时分析场景列表。 列表数据包括名称、过滤器、最近发生事件、描述信息 四个属性信息。 在实时分析场景列表页面可以进行 非内置 实时分析场景 数据 的添加、 修改、删除操作。 添加实时分析场景 在实时分析场景列表页面，点击工具条上的【添加】按钮，场景列表页面 及时更换为 实时分析场景 的 添加页面。 页面如图所示： 实时分析场景的添加页面包含名称、过滤器、最近发生时间、描述信息四个设置项。 用户可以在提示文字后面的空白文本框中填写新数据信息 ，最近发生时间需要通过点击文本框后面的时间按钮设置时间 参数。 设置 新数据信息 后，点击【确定 】按钮，完成实时分析场景的添加操作。 实时分析列表及时刷新，列表显示新添加的实时分析场景数据。 实时分析管理树及时刷新，在对应的实时分析组显示新添加 的实时分析场景节点。 修改实时分析场景 修改实时分析场景的操作与添加操作类似。 在实时分析场景列表页面 选定一条需要修改的实时分析场景，即将该条数据前的复选框打勾， 点击 工具条中的【修改】 按钮， 场景列表页面及时更换为实时分析场景的修改页面。 实时分析场景的 修改 页面包含名称、过滤器、最近发生时间、描述信息四个修改项。 每一修改项的提示文字后都有一个文本框用于显示该实时分析场景数据的属性信息，用户可以根据需要直接在相应的文本框中网御神州科技 （北京） 有限公司 SecFox 安全审计系统用户帮助手册 23 修改数据信息，最近发生时间参数需要通过点击文本框后面的时间 设置 按钮进行修改设置。 完成页面的 修改设置后，点击【确定 】按钮完成实时分析场景的修改操作。 实时分析列表页面 会 及时刷新， 显示新修改的属性信息。 实时分析管理树及时刷新，显示修改后的场景节点。 删除实时分析场景 在实时分析场景列表页面选定一条需要删除的实时分析场景，即将该条数据前的复选框打勾，点击工具条中的【删除】按钮，即 完成该场景的删除操作。 实时分析场景列表及时刷新，不再显示已经删除的场景数据。 实时分析管理树及时刷新，不再显示已经删除的场景节点。 实时分析显示 以“最近 5 分钟全部事件”的实时 分析场景节点的统计分析 显示为例。 点击 ‘ 通用事 件显示组 ’ 中 的“最近 5 分钟全部事件”节点，右侧功能显示页面会 及时更换 显示最近 5分钟的全部事件的实时分析显示页面。 页面包含两个分页： 【实时分析】 页面和 【属性】 页面。 用户可以通过鼠标点击分页卡实现这两个页面的切换显示。 如图所示： 实时分析 ： 【实时分析】页面用于显示实时事件 的统计 分析数据。 页面主要包含三个部分：实时 事件统计 雷达图、实时 事件 数据报表和实时事件的明细显示。 页面被分隔按钮分为上下两个部分，下部分显示实时事件明细。 通过点击分隔按钮可以全屏显示事件明细信息，或者 全屏显示 实时 事件统计 雷达图 与 实时 事件数据 报表。 实时事件数据报表 显示“最近 5 分钟的全部事件”的实时数据。 初始状态下，显示最近 5 分钟发生的全部事件数据。 【分配】：选中列表中的数据，点击【分配】按钮，可以将选中的事件数据分配到黑白名单的指定列网御神州科技 （北京） 有限公司 SecFox 安全审计系统用户帮助手册 24 表下 、 案例组或工单中。 【导出】：选中列表中的数据，点击【导出】按钮，可以将选中的事件数据以压缩格式导出到指定路径下，从而备份事件信息。 【 IP 定位】：选中一条或者多条列表中的 事件 数据，点击【 IP 定位】按钮，系统会弹出一个 IP 电子定位地图，显示事件的 IP 地址信息，包括源地址 IP、目的地址 IP、设备地址 IP 等。 通过在地图上的下拉菜单中选择不同的 IP 地址类型，可以 在地图上 查看不同 类型 IP 地址的地理定位情况 ， 如选择“目的地址”，地图上将标记 出所选中 事件的目的地址图标。 鼠标定位在 IP 标记上时， 能够 查看相应事件的 IP 地址和地理位置名称。 实时分析雷达图 如上图所示，雷达图采用柱点的形式表现实时事件数据。 其中每一个柱点代表 5 分钟的 1/60，即 5秒钟内的实时事件，鼠标点击选中某一个柱点，实时事件报表会显示对应 5 秒钟内的事件数据。 【取消选择】：点击雷达图的上方工具条中的【取消选择】按钮，则取消对雷达图柱点的选中状态，实时事 件数据报表恢复为全部显示最近 5 分钟事件信息状态。 【暂停】：点击【暂停】按钮，雷达图暂停接收实时数据。 【运行】：点击【运行】按钮，雷达图继续实时接收数据。 实时事件的明细显示。 【选择列】：点击后选择需要在实时事件列表中显示的菜单内容。 双击实时事件列表中的某条事件数据，在明细页面会相应 及时 的显示该事件信息的明细信息， 方便管理员查阅。 属性 ： 场景的属性页面，显示该场景数据的基本属性信息，包括：名称、过滤器、最近发生时间、描述信息。 历史分析 SecFoxSAS 系统通过 事件列表 形式向用户显示 查询 历史事件 的 分析 数据。 用户可以根据需求的不同设置不同 条件下 的历史查询场景 ，进而可以通过鼠标点击 方便的 查看不同场景下的 历史事件 分析统计数据。 历史分析组管理 SecFoxSAS 系统将 历史 分析统计场景进行了分组管理。 整个 历史 分析统计场景的结构以 历史 分析管理树的形式清晰地展现给用户，方便用户查看和操作系统中 历史 分析场景 数据。 对 历史 分析管理树的组织管理方式包括添加、修改、删除 历史 分析组操作，以及刷新树结构的操作。 添加历史分析组 点击历史分析组管理 树上方 工具条 中 的 【添加历史分析组】 按钮，在历史分析管理树和工具条之间显示历史 分析组的添加页面。 页面包括 名称 和 描述 两个属性设置项。 用户按照 需 要，在提示文字后面的空白文本框中设置新数据的属性信息。 点击【确定 】按钮完成历史分析组的添加操作。 历史分析 管理树及时刷新 ，显示新添加的实时分析组节点。 网御神州科技 （北京） 有限公司 SecFox 安全审计系统用户帮助手册 25 修改历史分析组 修改历史分析组的操作与添加类似。 鼠标选定预备修改的历史分析组节点，然后点击历史分析管理树上方的工具条中的【修改历史分析组】按钮，在历史分析管理树和工具条之间会显示该历史分析组的修改页面。 提示文字后面的文本框显示该 历史 分析组节点的对应数据信息。 用户根据需要在文本框 直接 进行修改，并点击【确定 】按钮即可完成修改操作。 完成 历史 分析组的修改后， 历史 分析管理树结构会及时刷新，树结构上修改后的节点会显示为新修改的名称。 删除历史分析组 在进行删除历史分析组操作前，用户需要先指定某一个 历史 分析组。 鼠标选定该历史分析组节点，点击历史分析组管理树上方的工具条中的【删除 历史分析 组】按钮，完成历史分析组的删除操作。 历史 分析管理 历史分析场景就是管理员根据不同的需要设置的历史分析统计条件。 在历史分析管理树上显示为叶子节点。 通过鼠标点击历史分析场景，可以在功能显示页面查看不同 查询 条件下的历史事件分 析统计数据。 用户可以在历史分析 场景列表中进行添加、修改、删除操作。 显示历史分析场景列表 所谓 历史 分析场景列表，指的是在某一个 历史 分析组下的所有 历史事件查询条件 列表。 查看某一个 历史分析场景列表，就意味着查看某一个实时分析组下的所有 历史事件查询 数据。 鼠标点击预备查看的 历史 分析组节点，右侧功能显示页面会及时显示该 历史 分析组下的 历史 分析场景列表。 列表数据包括名称、过滤器、 开始时间、结束时间 、描述信息 五 个属性信息。 在 历史 分析场景列表页面可以进行 历史 分析场景数据的添加、修改、删除操作。 添加历史分析场景 在 历史 分析场景列表页面，点击工具条上的【添加】按钮，场景列表页面及时更换为 历史 分析场景的添加页面。 页面如图所示： 网御神州科技 （北京） 有限公司 SecFox 安全审计系统用户帮助手册 26 历史 分析场景的添加页面包含名称、过滤器、 发生时间、结束时间 、描述信息 五 个设置项。 用户可以在提示文字后面的空白文本框中填写新数据信息， 其中发生时间和结束时间的设置 需要通过点击文本框后面的时间按钮设置时间参数。 设置新数据信息后，点击【确认】按钮，完成 历史 分析场景的添加操作。 历史 分析列表及时刷新，列表显示新添加的 历史 分析场景数据。 历史 分析管理树及时刷新，在对应的 历史 分析组显示新添加的 历史 分析场景节点。 修改历史分析场景 修改历史分析场景的操作与添加操作类似。 在历史分析场景列表页面选定一条需要修改的历史分析场景，即将该条数据前的复选框打勾，点击工具条中的【修改】按钮，场景列表页面及时更换为历史分析场景的修改页面。 在 历史分析场景的 修改 页面 ， 每一修改项的提示文字后都有一个文本框用于显示该历史分析场景数据的属性信息，用户可以根据需要直接在相应的文本框中修改数据信息。 其中发生时间和结束时间参数需要通过点击文本框后面的时间设置按钮进行修改设置。 完成页面的修改设置后，点击【确认】按钮完成历史分析场景的修改操作。 历史分析列表页面会及时刷新，显示新修改的属性信息。 历史分析管理树及时刷新，显示修改后的场景节点。 删除历史分析场景 在 历史 分析场景列表页面选定一条需要删除的 历史 分析场景，即将该条数据前的复选框打勾，点击工具条中的【删除】按钮，即完成该场景的删除操作。 历史 分析场景列表及时刷新，不再显示已经删除的场景数据。 历史 分析管理树及时刷新，不再显示已经删除的场景节点。 网御神州科技 （北京） 有限公司 SecFox 安全审计系统用户帮助手册 27 历史分析显示 选定历史分析管理树上的某一个历史分析场景节点，鼠标点击，在右侧的功能显示页面会按照该历史分析场景设置的查询条件显示历史事件分析统计数据。 页 面包含【历史分析】和【属性】两个分页。 用户可以通过鼠标点击分页卡实现这两个页面的切换显示。 如图所示： 历史分析 ： 【历史分析】页面包历史事件分析报表和历史事件明细两个部分，且这两个部分由分隔按钮分开，用户可以通过点击分隔按钮全屏查看历史事件报表或者历史事件明细。 供网络管理员查看历史事件信息，辅助分析网络安全管理。 历史事件分析报表 历史事件报表根据历史分析场景设置的查询条件显示历史某个时间段内符合某个过滤器条件的全部历史事件数据。 列表显示事件的接收时间、设备名称、设备地址、设备类型、系统类型、等级等 属性信息。 管理员根据需要可以对历史事件进行【分配】和【导出】操作。 【选择列】：点击后选择需要在实时事件列表中显示的菜单内容。 所谓【分配】，就是 选定历史事件报表中的某些历史事件，点击工具条的【 分配 】按钮， 再根据不同的需要 将 指定的 历史事件分配到黑白名单、案例组或者工单中 ， 作为 网络安全 知识库存储起来，供 管理员 分析网络安全 时 ， 参考使用。 所谓【导出】，就是选定历史事件报表中的某些预备备份的历史事件，点击工具条的【导出】按钮，将其导出备份到当地硬盘下。 【 IP 定位】 功能同实时分析。 历史事件明细 双击 历史事件列表中的某条事件数据，在明细页面会相应及时的显示该事件信息的明细信息，方便管理员查阅和分析。 属性： 场景的属性页面，显示该场景数据的基本属性信息，包括：名称、过滤器、 发生时间、结束时间 、描述信息 五个属性信息。 网御神州科技 （北京） 有限公司 SecFox 安全审计系统用户帮助手册 28 事件统计 SecFoxSAS 事件统计以 柱型统计 图形的形式 向管理员提供事件统计信息。 事件统计组管理 SecFoxSAS 系统将事件统计场景进行了分组管理。 整个事件统计场景的结构以事件统计管理树的形式清晰地展现给用户，方便用户查看和操作系统中 事件统计 场景。 对 事件统计 管理树。