天眼的使用指南--流量传感器

分以下几类讲，天眼的功能，日志分析字段，常见的烂分析，告警分析。两个实例；ngsoc的简单实用和告警分析。

#天眼功能

分为，分析平台，流量传感器，文件威胁鉴定器

#部署架构

高级危险检测，溯源的产品。提供了发现，分析，溯源这三个功能，

主要发现网络攻击事件，结合其他安全设备，去进行即使阻断网络攻击；并对攻击成功的事件进行一个溯源分析；

天眼这个还可以其他设备进行联动的，比如天擎的ed联动。

一种云的服务，流量传感器和文件威胁鉴定器，分析平台和云端的威胁情报服务。

流量传感器：接受流量的镜像还原成一个流量日志（全量还原），为天眼系统提供全流量的数据来源和数据的输入；

分析平台：存储全量的日志和一个分析结果，提供面向客户的业务和交互式的页面。

文件威胁鉴定器：和流量传感器进行一个联动，去流量传感器上面的文件去配合检索引擎进行文件的一个告警分析。

#部署场景

这是br结构。流量传感器就是通过接受用户的流量的镜像，提供网络异常的一种检测，提供一个系统统一管理接口，用户可以访问浏览器直接打开。文件威胁鉴定器就是沙箱和传感器进行联动，收集日志，采用多种混合检测引擎产生告警。分析平台也是对传感器联动，统一的管理和日志告警分析。

#大概流程

第一步就是探针，传感器从数据源上采取数据，然后进入第二部检测，进行一些检测，文件就用沙箱检测，再搭配上二十多种机器学习的行为，从而达到精确事件和新的事件线索；进行一个调查的的分析溯源一个攻击链。

#设备介绍-流量传感器

主要对网络流量进行一个解码，还原出一个真实的网络流量，提取的是网络层，传出层，应用层的同步信息，复杂信息，同时对流量中文件进行还原，这些信息通过加密通道发送到分析平台或威胁鉴定器统一的处理，在ipv4，ipv6的网页下支持主流的发邮件等高性能的分析。

#天眼流量传感器界面

#状态监听界面

这个页面的初始页面什么都展示，然后可以自己选择展示那些，勾选，点击刷新显示最新的数据，支持自动刷新。

设备连接状态是和其他的设备（分享平台，文件威胁鉴定器等等）是什么状态，链接还是断开，数量多少。

设备列表，展示配置，分享平台等等的数据状态，服务器地址，连接的状态，和其他的比如系统信息包括序列化，系统版本，规则版本，可以进行版本更新

授权信息，展示客户的证书，包括客户的名称，有效期等等

资源占用，系统cpu，内存，磁盘的使用状态

#威胁告警-告警列表

进行告警分析用到这个模块，通过里面的告警点开详情进行一个分析，可以输入添加过滤告警，支持查询的条件缓存到一个历史记录，并且将某条记录添加到，根据各种组合能查到相对于的告警统计图，有很多图形，根据自己设定的条件。

#规则配置分为四个模块，网页漏洞利用，webshell上传，网络攻击，自定义规则。其中三个模块网页漏洞利用，webshell上传，网络攻击，这里就是预制了一些规则，点开详情去看怎么命中的以及详细信息，下面以及有自定义规则。可以自己配置

威胁情报，我们可以添加域名，请求的ioc，如果这个ioc是恶意的，如果在威胁平台上面是恶意的，但是在这里没有告警，就可以添加进去

#规则配置

导入的话是上面那三种格式，导出的话可以进行一个全部的导出。导入的话写很多ioc啊选择好一个格式啊进行导入。

提供了开启和关闭的功能，还能配置一些高级参数，弱口令自己输入字典，其他的启停操作，检测，启动了才能检测，

#部署场景

因为流量经过不同设备，或代理调整，ip可能被替换，所以会有xff配置，开启就会去识别真正的源ip，

#弱口令

弱口令检测功能支持很多协议，支持通过告警中明源显示弱口令开关，控制是否在告警中明源显示弱口令信息，导入字典支持txt格式。

#流量记录

流量负载记录，支持tcp，udp等等流量上下行的负载长度，默认是开启状态，预制提供了一百，五百，一千的三种选项，不提供自定义

流量过滤，提供了指定ip，ip段流量的过滤，提供高级过滤，支持提供dpf，端口，ip，mac过滤，支持流量的导入导出功能，默认是关闭的，

#文件还原

默认是开启，有88中文件类型可以还原，自己选择，默认大小是50mb，也可以自定义，配置好之后要点击保存。

#抓包检测

抓包只支持pcap的包，然后还要完成三次握手的，不然抓不全是没有告警的，导入上线是1g，单个数据包最大是500mb，导入的数据包里面流量日志，和告警都会发到分析平台，里面有文件也让会还原后发送到文件威胁鉴定器的。

#旁路阻断

默认配置。别乱搞了

#ssl解密

这个因为https是加密的流量抓了之后也不会告警，就要解密一下，导入证书，之后再去按照正常流程。

#白名单配置

是为了应对一些正常的业务请求被告警的适合，放到白名单里面

系统管理是对流量传感器的管理，里面包括了很多东西，图中有的那些都可以配置，然后点保存。

#系统管理-升级配置

建议自动升级。

#系统管理-数据传输设置

它可以引用其他的模块，例如分析平台，和文件威胁鉴定器，之后新增ip和端口，设定好他是什么，再配置外发上面数据，告警，日志等等。

#系统管理-snmp配置

这个管理支持三个配置，配好v3才可以启动snmp trap，他由两个组成，连接性配置，消息内容的设置。

#系统管理-安全性设置

安全性设置可以配置登录设置，数据传输加密，敏感操作密码，单点登录密钥。

传数据加密

可以搭配分析平台，Hadoop平台，等一些联动设备发送数据时加密，默认为aes256加密，然后密钥也有加密，默认为空，需要自己配置，密钥加密后对端的密钥也要加密才能进行数据传输。

敏感密码操作

提供对弱口令的铭文展示，可以自己修改敏感操作密码。

配置免密登录，直接登入联动的平台。

对用户的权限管理。

操作审计，可以进行导出的，在筛选好条件筛选完之后进行一个导出，最多导出十万条。

导航就是可以去找自己想去的模块。