关于小组件和布局
您可以使用小组件来监控应用程序运行。
布局是控制板部分中应用程序 Web 界面窗口工作区的外观。您可以在布局中添加、删除和移动小组件,以及配置小组件的比例。
如果您使用和,此部分将显示所选租户的信息。NDR 小部件仅显示当前或选定节点的信息。
默认情况下,此部分仅显示有关用户未处理的警报的信息。若要也显示有关已处理警报的信息,请启用窗口右上角的“显示已关闭的警报”拨动开关。
控制板部分显示以下小组件:
- 警报:
- 按状态分类的警报。显示警报状态,具体取决于处理警报的 Kaspersky Anti Targeted Attack Platform 用户以及是否已处理该警报。
- 按技术分类的警报。显示生成警报的应用程序模块或组件的名称。
- 按攻击向量分类的警报。根据攻击的矢量显示检测到的对象。
- 按重要性排列的 VIP 警报。显示 VIP 身份警报的重要性,具体取决于这些警报可能对基于卡巴斯基经验的计算机或企业局域网安全性产生的影响。
- 按重要性分类的警报。显示 Kaspersky Anti Targeted Attack Platform 用户警报的重要性,具体取决于这些警报可能对基于卡巴斯基经验的计算机或企业局域网安全性产生的影响。
每个小组件的左侧部分显示攻击向量、警报重要性级别、警报状态以及生成警报的扫描技术。每个小组件的右侧部分显示程序在小组件上选定数据显示时段期间警报被触发的次数。
单击包含攻击媒介名称、警报重要级别、警报状态和生成警报的扫描技术的链接,您将转到应用程序 Web 界面的“警报”部分,您可以在其中查看相关警报。警报根据选定内容进行筛选。
- 前10个:
- 域。警报中最常见的 10 个域名。
- IP 地址。警报中最常见的 10 个 IP 地址。
- 发件人的电子邮件地址。警报中最常见的 10 个电子邮件发件人。
- 收件人电子邮件地址。警报中最常见的 10 个电子邮件收件人。
- TAA 主机。针对性攻击分析器 (TAA) 技术生成的事件和警报中最常出现的 10 台主机。
- TAA 规则。在针对性攻击分析器 (TAA) 技术生成的事件和警报中最常出现的 10 个 TAA (IOA) 规则。
- 按 TAA 规则发送到 Sandbox。最常导致 Kaspersky Anti Targeted Attack Platform 发送文件以供 Sandbox 组件扫描的 10 个 TAA (IOA) 规则。
每个小组件的左侧部分列出了域、收件人的电子邮件地址、邮件发件人的 IP 地址和电子邮件地址、主机名和 TAA (IOA) 规则名称。每个小组件的右侧部分显示程序在小组件上选定数据显示时段期间警报被触发的次数。
单击带有每个域名、收件人地址、IP 地址以及邮件发件人地址的链接,您可以转到应用程序 Web 界面的“警报”部分,并查看相关警报。
单击带有主机名和 TAA (IOA) 规则名称的链接,转到应用程序 Web 界面的“事件”部分,并查看相关事件。
警报和事件基于所选元素进行过滤。
- NDR:
- 网络流量事件得分。选定时间段内事件按得分分布的条形图。条形图对应分数的整数值。您可以将数据显示模式更改为饼图,按严重性级别分布事件。根据分数,事件的严重程度可能为低(0.0–3.9)、中(4.0–7.9)或高(8.0–10.0)。
- 按技术划分的网络流量事件。在选定时间段内,通过哪种事件注册技术注册了多少个事件。
- 设备安全状态。按设备安全状态进行分布。
- 网络流量事件中频繁出现的应用程序用户。根据选定时间段内的 EPP 应用程序信息,在事件中注册最频繁的用户名。
- 网络流量事件中频繁出现的应用程序。根据选定时间段内的 EPP 应用程序信息,在事件中注册最频繁的第三方应用程序。
- 网络流量事件中频繁出现的设备。选定时间段内事件中注册最频繁的设备。
- 按风险计数排名靠前的设备。在选定时间段内检测到的风险的最常注册的设备。
- 风险分数。选定期间内风险按分数分布的条形图。条形图对应分数的整数值。您可以将数据显示模式更改为饼图,以按严重程度分布风险。根据分数,风险的严重程度可能为低(0.0–3.9)、中(4.0–7.9)或高(8.0–10.0)。
- 自定义小部件。您可以创建具有任意内容的小组件。例如,您可以使用自定义小组件在“控制板”部分中以逻辑方式分隔小组件组。
- 设备。包含有关网络上的设备的信息(按设备类别排列)。
- 网络流量事件。包含有关具有最近的上次可见日期和时间的 NDR 事件和聚合事件的信息。
- 态势感知。有关当前已识别的系统安全威胁的通知(例如,检测到 10 次未经授权的网络交互)。此小组件按重要性顺序显示通知。
- EPP 应用程序的保护。受 EPP 应用程序保护的计算机数量与未受 EPP 应用程序保护的计算机数量之比。饼图中央显示受保护和未受保护的计算机的总数。
如果 Kaspersky Anti Targeted Attack Platform 意识到满足以下条件,则认为计算机受到EPP 应用程序的保护:
- 计算机上安装了 EPP 应用程序。
- 正在为 EPP 应用程序运行实时保护任务。
- EPP 应用程序与集成服务器的连接处于活动状态。
如果至少有一个条件没有满足,则计算机被认为未受到 EPP 应用程序的保护。将针对 Kaspersky Anti Targeted Attack Platform 中所有包含 Windows 操作系统(任何版本)名称作为所安装操作系统的设备,或设备属于以下类别之一,执行是否缺少 EPP 应用程序保护的检查:
为了在 NDR 小部件中显示正确的信息,您必须配置 Central Node 和 Sensor 组件之间的日期和时间同步。
小部件仅显示动态变化的基本信息。如果您需要查看详细信息(例如,有关有问题的设备的信息),您可以从“控制板”部分导航到应用程序 Web 界面的其他部分。您可以通过单击小部件来导航 Web 界面。
页面顶部