Обнаружение вторжений
Описание
Раздел Обнаружение вторжений предназначен для мониторинга угроз и их источников и целей.
Отображаемые данные
- Количество уникальных IP-адресов источников угроз
- Количество уникальных IP-адресов целей угроз
- Общее количество уникальных адресов
- Статистика угроз по их типу
- Статистика по user-агентам
- Количество событий по источнику
- Динамика угроз
- TOP-10 источников угроз по числу попыток вторжения
- TOP-10 целей угроз по числу попыток вторжения
Список дашбордов
- Обнаружение вторжений: Общие сведения
- Обнаружение вторжений: Профиль источника угроз
- Обнаружение вторжений: Профиль цели угроз
Модель данных
В разделе используются нижеописанные поля источников данных. Используемый алиас: sm_cs_threat_indeces.
Поля категоризации
Поля категоризации не используются этим разделом.
Поля общего назначения
Наблюдатель observer
| Имя поля | Значение |
|---|---|
observer.vendor | Информация о производителе системы обнаружения вторжений или сетевого оборудования, которое сгенерировало событие. |
Источник source
| Имя поля | Значение |
|---|---|
source.ip | IP-адрес источника угроз. |
Назначение destination
| Имя поля | Значение |
|---|---|
destination.ip | IP-адрес назначения аутентификации. |
Тип угрозы rule
| Имя поля | Значение |
|---|---|
rule.category | Тип угрозы источника/цели |
Справочники
Справочники не используются этим разделом.