入侵防御事件

本文介绍如何访问和处理入侵防御事件。有关与事件有关的一般最佳做法,请参阅趋势科技服务器深度安全防护系统中的事件

要查看由趋势科技服务器深度安全防护系统捕获的入侵防御事件,请转至事件和报告 > 事件 > 入侵防御事件

入侵防御事件会显示哪些信息?

“入侵防御事件”页面上可显示以下列。您可单击来选择要在表中显示的列。

  • 时间:计算机上发生事件的时间。
  • 计算机:记录此事件的计算机。(如果已移除此计算机,此条目会显示为“未知计算机”。)
  • 原因:与此事件关联的入侵防御规则。
  • 标记:附加到事件的任何标记。
  • 应用程序类型:与引起此事件的入侵防御规则关联的应用程序类型。
  • 操作:入侵防御规则采取的操作(阻止或重置)。如果规则处于仅检测模式下,则该操作的前缀为“仅检测:”)。
    在趋势科技服务器深度安全防护系统 7.5 SP1 以前的版本中创建的入侵防御规则还可以执行插入、替换和删除操作。现在不再执行这些操作。如果旧版规则被触发并尝试执行这些操作,事件将指示该规则是在“仅检测”模式下应用的。
  • 排序:排序系统提供一种方法来量化入侵防御事件和防火墙事件的重要性。为计算机分配“资产值”并为入侵防御规则和防火墙规则分配“严重性值”,然后将两个值相乘便可计算得出事件的重要性(“排序”)。这样,您在查看入侵防御事件或防火墙事件时,就可以按排序来排列事件的顺序。
  • 严重性:入侵防御规则的严重性值。
  • 方向:数据包的方向(传入或传出)
  • 流:触发此事件的数据包按入侵防御规则所监控的流量的方向(“连接流”)还是按其反方向(“反向流”)进行传递。
  • 接口:数据包所经过的接口的 MAC 地址。
  • 帧类型:所需数据包的帧类型。可能的值有“IPV4”、“IPV6”、“ARP”、“REVARP”和“其他:XXXX”,其中 XXXX 代表帧类型的四位数十六进制码。
  • 协议:可能的值有“ICMP”、“ICMPV6”、“IGMP”、“GGP”、“TCP”、“PUP”、“UDP”、“IDP”、“ND”、“RAW”、“TCP+UDP”、及“其他:nnn”,其中,nnn 代表三位数的十进制值。
  • 标记:数据包中已设置的标志。
  • 源 IP:数据包的源 IP。
  • 源 MAC:数据包的源 MAC 地址。
  • 源端口:数据包的源端口。
  • 目标 IP:数据包的目标 IP 地址。
  • 目标 MAC:数据包的目标 MAC 地址。
  • 目标端口:数据包的目标端口。
  • 数据包大小:数据包的大小(以字节为单位)。
  • 重复计数:连续重复事件的次数。
  • 时间 (微秒):事件在计算机上的发生时间(微秒级)。
  • 事件起源:发生事件的趋势科技服务器深度安全防护系统组件。

请参阅与事件有关的详细信息

双击事件(或右键单击事件并单击查看)会显示一个窗口,其中包含有关该事件的其他信息。标记选项卡显示已附加到此事件的标记。有关事件标记的更多信息,请参阅应用标记来标识和分组事件

您还可以右键单击事件并选择计算机详细信息以打开生成事件的计算机的计算机编辑器。

找到特定事件

可以使用每个事件页面顶部的列表来过滤事件以及对事件进行分组。选择您想过滤的值,然后单击右侧的大蓝色箭头以应用过滤。您还可以使用右上角的搜索栏搜索特定事件。

要执行高级搜索,请单击搜索栏中的箭头并选择打开高级搜索

使用期间设置可以过滤列表,从而只显示在特定时间范围内发生的事件。

使用计算机设置,可以按照计算机组或策略来组织事件日志条目的显示情况。

高级搜索功能(搜索不区分大小写):

  • 包含:选定列中的条目包含该搜索字符串
  • 不包含:选定列中的条目不包含该搜索字符串
  • 等于:选定列中的条目完全符合该搜索字符串
  • 不等于:选定列中的条目并不完全符合该搜索字符串
  • 在范围内:选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配
  • 不在范围内:选定列中的条目并未与任意逗号分隔的搜索字符串条目完全匹配

按搜索栏右侧的“加号”按钮 (+) 将显示另一个搜索栏,这样可将多个参数应用于搜索。当您的搜索参数准备就绪后,单击右侧的大蓝色箭头。

导出事件列表

单击导出,可将所有或选定的事件导出为 CSV 文件。

标记事件

单击自动标记显示了已经应用到事件的现有自动标记规则的列表。您还可以右键单击事件以手动添加或移除标记。(请参阅应用标记来标识和分组事件。)