Раздел Обнаружение вторжений предназначен для мониторинга угроз и их источников и целей.
- Количество уникальных IP-адресов источников угроз
- Количество уникальных IP-адресов целей угроз
- Общее количество уникальных адресов
- Статистика угроз по их типу
- Статистика по user-агентам
- Количество событий по источнику
- Динамика угроз
- TOP-10 источников угроз по числу попыток вторжения
- TOP-10 целей угроз по числу попыток вторжения
- Обнаружение вторжений: Общие сведения
- Обнаружение вторжений: Профиль источника угроз
- Обнаружение вторжений: Профиль цели угроз
В разделе используются нижеописанные поля источников данных. Используемый алиас: sm_cs_threat_indeces.
Поля категоризации не используются этим разделом.
| Имя поля | Значение | Применение в дашбордах |
|---|
observer.vendor | Информация о производителе системы обнаружения вторжений или сетевого оборудования, которое сгенерировало событие. | Позволяет увидеть, какая система генерирует большинство событий. |
| Имя поля | Значение | Применение в дашбордах |
|---|
source.ip | IP-адрес источника угроз. | В подсчетах количества уникальных атакующих aggs count by source.ip. При переходе по строкам таблиц к профилю источника. |
source.address | Физический/логический адрес источника. | Показывается в таблице с деталями целей. |
source.port | Порт источника | Отображается в таблице целей (столбец Порт источника). |
| Имя поля | Значение | Применение в дашбордах |
|---|
destination.ip | IP-адрес назначения аутентификации. | Основной фильтр $dest_ip$. Позволяет выбирать, для какого узла анализируются события. |
destination.port | Порт цели. | Отображается в таблице Информация о выбранной цели (название столбца Порт цели). |
| Имя поля | Значение | Применение в дашбордах |
|---|
rule.category | Тип угрозы источника/цели. | Используется в пироговой диаграмме и столбчатых графиках для анализа распределения типов угроз. |
| Имя поля | Значение | Применение в дашбордах |
|---|
user_agent.name | Информация об агенте взаимодействия. | Используется в визуализации. |
Справочники не используются этим разделом.