威脅概覽

在“威脅檢測 > 威脅概覽”頁面，主要統計分析當前用戶環境所面臨的威脅情況，具體包括：

• 異常行為的總量及高危異常行為類型TOP3。
• 威脅行為類型：統計最近24h的異常行為類型及數量。
• 受影響主機排行：根據最近24h的異常行為數量，統計受影響主機TOP5，表格展示資產IP、資產歸屬、異常行為數。
• 威脅方排行：根據威脅數量統計最近24h的威脅方排行，國內、國際分別統計TOP5，表格展示威脅方IP、所在地、異常行為數。
• 威脅方歸屬地：統計異常行為數最多的威脅方所在地，國內、國際分別統計TOP10。

威脅列表

在“威脅檢測 > 威脅列表”頁面，詳細記錄了威脅事件信息。

• 威脅事件支持按照時間、按照事件的屬性進行篩選。
• 威脅事件根據威脅類型和威脅明細，統計影響最多的前十類。
• 威脅列表展示威脅事件發生的時間、源IP、目的IP、協議、流向、威脅類型、威脅明細、嚴重級別、攻擊階段、來源、威脅方歸屬地、探針IP。

下載取證

威脅事件支持下載數據包取證，單擊列表右側操作列的“下載取證”。

忽略

威脅事件支持針對事件和規則的忽略，單擊列表右側操作列的“忽略”。

• 忽略規則，包括忽略此條檢測規則和此資產IP相關的事件。
• 忽略事件，僅忽略當前一條事件日志。

取消忽略

忽略的規則，通過“系統管理 > 系統設置 > 忽略規則管理”頁面管理，將已經忽略的規則刪除后，規則將繼續生效。

警告配置

攻擊源警告

“威脅檢測 > 警告配置”頁面的攻擊源警告，用于對攻擊源警告。當系統檢測到遠端IP地址存在惡意入侵或者探測行為時，可以對相應的IP進行告警，對其推送告警界面，以做警示，并記錄告警事件時間和攻擊源IP地址。

惡意網站警告

“威脅檢測 > 警告配置”頁面的惡意網站警告，用于對系統用戶警告。當系統用戶訪問惡意網站時，對自己的用戶推送提示頁面，可以使用默認的提示內容，也可以自定義提示頁面，自定義頁面僅支持上傳html的文件包。

惡意網站的數據，來源于國家能力中心。也支持用戶自定添加，用戶將自己整理的惡意網站的名稱、域名添加到系統中，系統支持對自定義添加的惡意網站進行編輯、刪除、停用、啟用。

惡意網站檢測通過開關控制，開關在“系統管理 > 功能配置 > 威脅檢測”配置，默認關閉。