【NGSOC】【态势感知】当威胁预警态势大屏没有数据或者数据不准确时该怎么排查?

马博01发表于:2021年05月21日 15:05:58更新于:2021年06月22日 20:00:22

1      问题描述

威胁预警态势大屏没有数据或者数据不准确

00160bf40900b9b81cfb053b8928f5c

2      适用场景

48X、49X

3      原因分析

1、检查配置

•Noah接入日志/流量数据源>产生日志检索数据

 •基于日志数据设置关联规则(攻击者IP+受害者IP需赋值)产生告警 

•发送日志样本使DIP为已有资产(受攻击资产相关)

 •设置关联规则产生已失陷的告警(失陷资产相关)

•添加自定义网段信息 •导入/探查/扫描/同步等方式添加资产信息

•新增威胁预警事件,至少将相关的关联规则和告警名称添加到筛选条件中

•与资产关联的告警产生后,至少完成一次风险计算(风险资产数相关)

2、模块故障

综合安全态势依赖模块:威胁告警、资产管理、威胁预警

4      解决办法

1、排查各个依赖模块数据是否正常: 威胁告警、资产管理、威胁预警

2、若某个模块数据不正常或页面接口报错,可按wiki收集日志,提tac到二线解决;https://wiki.qianxin-inc.cn/pages/viewpage.action?pageId=396187279