【NGSOC】【态势感知】当外部威胁态势大屏没有数据或者数据不准确时该怎么排查?

马博01发表于:2021年05月21日 15:36:38更新于:2021年06月23日 15:16:14

1      问题描述

外部威胁态势大屏没有数据或者数据不准确

image.png

2      适用场景

48X、49X

3      原因分析

1、检查配置

•Noah接入日志/流量数据源>产生日志检索数据 •设置关联规则(攻击者IP+受害者IP赋值)产生告警 •设置关联规则产生已失陷的告警(失陷资产相关)

•添加自定义网段信息(内外网的定义) •导入/探查/扫描/同步等方式添加资产信息

•只有 •SIP(外网)>DIP(内网) •SIP(外网)>DIP(外网) •符合这两种条件之一的告警才会被大屏统计到

•富化攻击/受害者IP地理位置(参考威胁检测培训内容)

2、模块故障

安全运营态势依赖模块:威胁告警、资产管理


数据更新周期:每5分钟刷新统计数据

4      解决办法

1、排查各个依赖模块数据是否正常: 威胁告警、资产管理

2、若某个模块数据不正常或页面接口报错,可按wiki收集日志,提tac到二线解决;https://wiki.qianxin-inc.cn/pages/viewpage.action?pageId=396187279