SecCenter 快速配置及使用指导
错误!未找到引用源。
图1-30 网流报告(NetFlow Reports)
Assets(资产报告)
包含5个资产报告(Assets),全部报告的名称如下:
图1-31 资产报告(Assets)
Compliance Reports(法规遵从报告)
包含126个法规遵从报告(Compliance Reports),报告的分类如下图:
图1-32 法规遵从报告(Compliance Reports)
1-24
SecCenter 快速配置及使用指导
错误!未找到引用源。
1.3.4 策略与告警(Policies & Alert)
1. 规则模板(Rule Templates)
规则(Rule)是一个过滤器,可选择任何日志字段作为匹配条件,如源IP地址、目的IP地址、报文协议类型、攻击类型、事件ID甚至事件信息中的字符串匹配。 SCA1000中预定义了一些常用的规则模板(Rule Templates),可以直接使用,如果这些模板不能满足需要,用户也可以自己定义规则(Rule)模板。
在主界面的策略(Policies)Table页面中点击“Rule Templates”按钮,可弹出规则模板(Rule Templates )管理画面,通过该功能画面可以新建和修改规则模板(Rule Templates)。
图1-33 规则模板(Rule Templates)管理
2. 策略定义(Policies)
策略是规则的集合和符合规则后相关动作的组合,也就是说策略先用若干个规则过滤日志信息,这些规则用与或非逻辑运算生成一个表达式,完全符合这些表达式后策略会触发相关动作。策略的动作包括触发告警和生成自定义级别事件。 在主界面的策略(Policies)Table页面中点击“New Policy”按钮,可弹出策略建立(Create Policy )画面,通过该功能画面可以新建策略。
在主界面的策略(Policies)Table页面中选择一个已经定义的策略再点击“Edit Policy”按钮,可弹出策略编辑画面(Edit Policy),通过该功能画面可以修改一个已有策略。
1-25
SecCenter 快速配置及使用指导
错误!未找到引用源。
图1-34 策略建立(Create Policy)
3. 触发告警(Alert) 告警查询和显示:
告警被触发后可以在告警信息窗口中显示(On Screen),察看当前由策略定义的告警信息,可点击主界面上工具条中的“Alerts”按钮。
1-26
SecCenter 快速配置及使用指导
错误!未找到引用源。
图1-35 告警查询(Alerts)
告警确认:
点击告警列表中的未确认告警数字(在Unacknowledged Events列下)可弹出告警确认画面,可确认或清除告警,确认表示用户已经注意到了告警信息。
1-27
相关推荐:
loading