บทนำ
หน้า Incident Details แสดงข้อมูลเชิงลึกของเหตุการณ์ความมั่นคงหนึ่งเหตุการณ์ รวมถึงผู้โจมตีทั้งหมด สินทรัพย์ที่ได้รับผลกระทบ กฎที่ถูกตรวจจับ และบันทึกต้นฉบับ (Original Logs) บทความนี้อธิบายการตีความข้อมูลในหน้านี้
ขั้นตอนการเข้าถึง
- ไปที่ Response > Security Incidents
- คลิกชื่อภัยคุกคามในคอลัมน์ Threat เพื่อเข้าสู่หน้า Incident Details
การอ่านข้อมูลสำคัญ
- All Attackers: แสดงจำนวนผู้โจมตีทั้งหมดที่เกี่ยวข้องกับเหตุการณ์นี้ คลิกเพื่อดูรายละเอียด IP และจำนวน Attacks ของผู้โจมตีแต่ละราย
- Attacks ของแต่ละผู้โจมตี = จำนวน Original Logs ที่ตรงกับ IP ของผู้โจมตีนั้น
- Risky Assets: จำนวนสินทรัพย์ที่ตกเป็นเป้าหมาย ดูในแท็บ Risky Asset
- Threats: แท็บแสดงกฎที่ตรวจจับได้และจำนวนผู้ถูกโจมตี (Victims)
- Original Logs: แท็บแสดงบันทึกดิบที่ตรวจจับได้จาก STA/NGAF/Endpoint Secure
หมายเหตุ
- จำนวน All Attackers และ Risky Assets ใน Hit Rules ไม่จำเป็นต้องเท่ากัน เนื่องจากผู้โจมตีหนึ่งรายอาจโจมตีหลายเป้าหมาย
- หากจำนวน Attacks ของผู้โจมตีไม่ตรงกับ Logs ใน Original Logs แสดงว่ามี Victim หลายราย ผลรวมของ Logs ที่ Victim ทุกรายถูกโจมตีจะเท่ากับจำนวน Attacks ของผู้โจมตี
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น