【NGSOC】【安全态势】当安全运营大屏没有数据或者数据不准确时该怎么排查?

马博01发表于:2021年05月21日 15:11:15更新于:2021年06月22日 20:02:33

1      问题描述

接收到日志源后,安全运营态势大屏没有数据 或者数据与实际不符

0015fb750d54af11f1be850949b1a3a

2      适用场景

48X、49X

3      原因分析

1、检查配置

•Noah接入日志数据源>产生日志检索数据 

•设置关联规则产生告警

•添加自定义网段信息 

•导入/探查/扫描/同步等方式添加资产信息

 •导入/扫描/同步等方式添加脆弱性信息

•账号管理新增若干账号

 •使用这些账号登录SOC随机做一些访问动作

•部分资产需要有关联的非流量日志(即日志的dev_ip与资产IP关联)

2、模块故障

安全运营态势依赖模块:威胁告警、资产管理、脆弱性管理、威胁情报、关联规则、知识库、账号管理

数据更新周期:每30分钟(距上次刷新时刻)刷新统计数据

“安全设备部署情况”视图需要在大屏配置页面配置:在“安全设备类型”勾选想看的类型,保存之后即有内容展示

4      解决办法

1、排查各个依赖模块数据是否正常: 威胁告警、资产管理、脆弱性管理、威胁情报、关联规则、知识库、账号管理

2、若某个模块数据不正常或页面接口报错,可按wiki收集日志,提tac到二线解决;https://wiki.qianxin-inc.cn/pages/viewpage.action?pageId=396187279