威胁概览

在“威胁检测 > 威胁概览”页面，主要统计分析当前用户环境所面临的威胁情况，具体包括：

• 异常行为的总量及高危异常行为类型TOP3。
• 威胁行为类型：统计最近24h的异常行为类型及数量。
• 受影响主机排行：根据最近24h的异常行为数量，统计受影响主机TOP5，表格展示资产IP、资产归属、异常行为数。
• 威胁方排行：根据威胁数量统计最近24h的威胁方排行，国内、国际分别统计TOP5，表格展示威胁方IP、所在地、异常行为数。
• 威胁方归属地：统计异常行为数最多的威胁方所在地，国内、国际分别统计TOP10。

威胁列表

在“威胁检测 > 威胁列表”页面，详细记录了威胁事件信息。

• 威胁事件支持按照时间、按照事件的属性进行筛选。
• 威胁事件根据威胁类型和威胁明细，统计影响最多的前十类。
• 威胁列表展示威胁事件发生的时间、源IP、目的IP、协议、流向、威胁类型、威胁明细、严重级别、攻击阶段、来源、威胁方归属地、探针IP。

下载取证

威胁事件支持下载数据包取证，单击列表右侧操作列的“下载取证”。

忽略

威胁事件支持针对事件和规则的忽略，单击列表右侧操作列的“忽略”。

• 忽略规则，包括忽略此条检测规则和此资产IP相关的事件。
• 忽略事件，仅忽略当前一条事件日志。

取消忽略

忽略的规则，通过“系统管理 > 系统设置 > 忽略规则管理”页面管理，将已经忽略的规则删除后，规则将继续生效。

警告配置

攻击源警告

“威胁检测 > 警告配置”页面的攻击源警告，用于对攻击源警告。当系统检测到远端IP地址存在恶意入侵或者探测行为时，可以对相应的IP进行告警，对其推送告警界面，以做警示，并记录告警事件时间和攻击源IP地址。

恶意网站警告

“威胁检测 > 警告配置”页面的恶意网站警告，用于对系统用户警告。当系统用户访问恶意网站时，对自己的用户推送提示页面，可以使用默认的提示内容，也可以自定义提示页面，自定义页面仅支持上传html的文件包。

恶意网站的数据，来源于国家能力中心。也支持用户自定添加，用户将自己整理的恶意网站的名称、域名添加到系统中，系统支持对自定义添加的恶意网站进行编辑、删除、停用、启用。

恶意网站检测通过开关控制，开关在“系统管理 > 功能配置 > 威胁检测”配置，默认关闭。