【正文】 用戶自定義 管理樹及時刷新，顯示修改后的。完成頁面的修改設(shè)置后，點擊【確認】按鈕完成 報表 的修改操作。 在 報表 列表頁面選定一條需要修改的 報表 ，即將該條數(shù)據(jù)前的復(fù)選框打勾，點擊工具條中的【修 改】按鈕， 或者在報表管理樹上直接點擊該報表節(jié)點，報表 列表頁面及時更換為 報表 的修改頁面。 報表設(shè)置完畢后，點擊【 確認】按鈕完成操作，報表列表頁面及時刷新，顯示新條件的報表數(shù)據(jù)。 頁面如圖所示 ： 報表的內(nèi)容設(shè)置的具體操作步驟如下： 選擇預(yù)備顯示的數(shù)據(jù)字段，將該 字段前的復(fù)選框選中； 網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 47 根據(jù)下表要求，在選中的屬性字段行上進行該字段的設(shè)置，定義該字段的值，該字段的名稱，通過設(shè)置列排序，設(shè)置該字段將在列表中顯示的位置，即將在列表的第幾列顯示，是否需要根據(jù)該字段排序，如何排序，是否需要設(shè)置組合等。 是設(shè)置報表數(shù)據(jù)的核心部分，同時也是整個系統(tǒng)的一個非常重要的功能。 網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 46 基本信息： 【基本信息】頁面用于設(shè)置報表的基本屬性信息 ，如上圖所示 。 添加報表 在規(guī)則列表頁面，點擊工具條上的【添加】按鈕，規(guī)則列表頁面及時更換為規(guī)則的添加頁面。 鼠標點擊某個預(yù)備查看報表組節(jié)點，右側(cè)功能 頁面 將會以列表的形式及時顯示該 報表 組下的所有 報表 條件 數(shù)據(jù)。 除了系統(tǒng)內(nèi)置的五個實時分析場景外，其他的場景都可以在場景列表中進行添加、修改、刪除操作。在實時分析管理樹上顯示為葉子節(jié)點。 用戶自定義 管理樹結(jié)構(gòu)及時刷新，不再顯示已經(jīng)刪除的 用戶自定義 組節(jié)點。 網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 45 刪除 用戶自定義 組 在進行刪除 用戶自定義 組操作前，用戶需要先指定某一個 用戶自定義 組。用戶根據(jù)需要在文本框 直接進行修改，并點擊【確認】按鈕即可完 成修改操作。 鼠標選定 某一個需要 修改的用戶自定義 組節(jié)點，然后點擊 用戶自定義 組管理樹上方的工具條中的【修改用戶自定義 組】按鈕，在 用戶自定義 管理樹和工具條之間會顯示該 用戶自定義 組的修改頁面。 修改 用戶自定義 組 修改 用戶自定義 組的操作類似于添加操作。設(shè)置完成后，點擊【確認】按鈕完成添加 用戶 自定義 組的操作。 添加 用戶自定義 組 點擊 用戶自定義 組管理樹上方 工具條中的【添加 用戶自定義 組】按鈕，會在 用戶自定義 管理樹和工具條之間顯示 用戶自定義 組的添加頁面 。 在系統(tǒng)預(yù)定義組中，系統(tǒng)提供了部分內(nèi)置的報表，供用戶直接使用以查看一些通用 條件下 的報表數(shù)據(jù)。用戶可以方便地自己定義各種復(fù)雜的報表，包括報表的內(nèi)容、布局，以及運行調(diào)度設(shè)置，滿足企業(yè)和組織自身不斷業(yè)務(wù)發(fā)展的需要。 網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 44 第 7 章 報表管理 安全管理人員可以將事件分析的結(jié)果生成報表，作為工作內(nèi)容匯報的一部分提交給相關(guān)部門。 導(dǎo)入過濾器 在過濾器列表頁面，點擊【導(dǎo)入】按鈕，在過濾 器列表的工具條和過濾器列表之間顯示過濾器導(dǎo)入窗口，如圖所示： 點擊“瀏覽”，選擇過濾器備份文件，導(dǎo)入到過濾器列表中。 過濾器列表及時刷新，不再顯示已經(jīng)刪除的過濾器數(shù)據(jù)。 過濾器列表及時刷新，顯示修改后的過濾器數(shù)據(jù)。黑白名單的添加頁面包含過濾器和屬性兩個 tab 頁，用戶可以通過鼠標點擊選項卡切換不同的設(shè)置頁面。 過濾器的添加頁面如圖所示： 根據(jù)頁面的文字提示信息，輸入相應(yīng)的數(shù)據(jù)，點擊確認按鈕完成添加操作，如圖所示： 過濾器列表及時刷新，顯示新添加的過濾器數(shù)據(jù)。頁面如圖所示： 添加過濾器 在過濾器列表 頁面，點擊添加按鈕，列表頁面變?yōu)檫^濾器的添加頁面。創(chuàng)建時間、修改時間。 過濾器管理 顯示過濾器列表 鼠標點擊過濾器組節(jié)點，右側(cè)功能顯示頁面顯示該過濾器組下的黑白名單列表。 選定過濾器管理樹上的某一個準備導(dǎo)出的過濾器組節(jié)點，點擊過濾器管理樹上方的工具條中的【導(dǎo)出過濾器組】按鈕，頁面回彈出導(dǎo)出過濾器組提示窗口，如圖所示： 網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 41 點擊【保存（ S）】按鈕，將導(dǎo)出文件存放到指定位置上。 過濾器組及時刷新樹結(jié)構(gòu)，不再顯示已經(jīng)刪除的過濾器組節(jié)點。 過濾器組及時刷新樹結(jié)構(gòu)，顯示修改后的過濾器組節(jié)點。 過濾器組及時刷新樹結(jié)構(gòu)，顯示新添加的過濾器組節(jié)點。 過濾器 過濾器組管理 過濾器管理樹 過濾的左側(cè)顯示過濾器管理樹，過濾器管理用于顯示過濾器組的層次結(jié)構(gòu)。 導(dǎo)入規(guī)則 在規(guī)則列表頁面，點擊【導(dǎo)入】按鈕，在規(guī)則列表的工具條和規(guī)則列表之間顯示規(guī)則導(dǎo)入窗口，如圖所示： 點擊“瀏覽”，選擇規(guī)則文件，導(dǎo)入到規(guī)則列表中。 規(guī)則列表及時刷新，不再顯示已經(jīng)刪除的規(guī)則數(shù)據(jù)。 規(guī)則列表頁面會及時刷新，顯示修改后的規(guī)則信息。 在規(guī)則的修改頁面，每一修改項的提示文字后都有一個文本框用于顯示該條規(guī)則的基本信息，用戶可以根據(jù)需要直接在相應(yīng)的文本框中修改數(shù)據(jù)信息。 修改規(guī)則 修改規(guī)則的操作與添加操作類似。 黑白名單操作： 黑白名單操作用于設(shè)置當事件滿足當前規(guī)則的條件時，將該類事件添加到黑白名單中，備份為知識庫存 儲起來，或 者從黑白名單中刪除。 設(shè)置頁面如圖所示： 提示：設(shè)置的程序腳本應(yīng)盡量避免使用對服務(wù)器系統(tǒng)有致命影響的腳本語言。 發(fā)送短信： 發(fā)送短信用于設(shè)置當事件滿足該條規(guī)則的條件時，發(fā)送短信信息響應(yīng)提示。 設(shè)置頁面如圖所示： 在 SNMP Trap 的字符串設(shè)置文本框中設(shè)置接受服務(wù)器的 IP 地址，接收端口和連接密碼。 發(fā)送 SNMPTrap： SNMP 的設(shè)置用于設(shè)置告警事件接受服務(wù)器。 發(fā)送郵件： 網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 36 所謂發(fā)送郵件，就是指當事件 滿足該條規(guī)則的設(shè)置條件時，系統(tǒng)將會以郵件的方式提示管理員，某一類 事件已經(jīng)發(fā)生了。 設(shè)置告警屬性： 所謂設(shè)置告警屬性是指該條規(guī)則實現(xiàn)了，當事件滿足規(guī)則所設(shè)置條件時，顯示告警的屬性信息，該信息顯示在事件歸一化的告警事件屬性信息中。 目前的動作 提示包括：設(shè)置告警屬性、發(fā)送郵件、發(fā)送 SNMPTrap、發(fā)送短信、發(fā)送程序腳本、電話響鈴、黑白名單操作、案例操作。 規(guī)則的【計數(shù)】設(shè)置不僅進一步的定義了規(guī)則的條件，并且也使得規(guī)則能夠更加明確的識別告警事件，方便了管理員更直接、快速的獲得某一類告警事件的信息。 而【重復(fù)事件特征】包括兩個設(shè)置。頁面包含【重復(fù)事件次數(shù)】和【重復(fù)事件特征】兩個計數(shù)設(shè)置條件。 三、計數(shù)頁面： 計數(shù)頁面的功能設(shè)置用于進一步增強規(guī)則條件的約束，限制告警事件滿足指定的發(fā)生頻率，并且符合告警事件之間的增強約束關(guān)系時，才會觸發(fā)到規(guī)則的動作響應(yīng)，像管理員發(fā)出告警提示。 當預(yù)備某個邏輯關(guān)系下的條件表達式時，點擊添加條件表達式 ，則條件屬性窗口將被激活，窗口增亮顯示，可以在條件表達式窗口設(shè)置條件屬性、引用過濾器、 引用資產(chǎn)屬性 。 條件屬性： 條件屬性窗口用于設(shè)置規(guī)則事件間的條件關(guān)系。頁面的條件屬性樹節(jié)點的相應(yīng)事件節(jié)點下顯示設(shè)置的邏輯節(jié)點。 邏輯運算包含三種邏輯關(guān)系： AND、 OR、 NOT；點擊下拉菜單可以選擇設(shè)置邏輯 關(guān)系。沒有點擊邏輯運算按鈕 ，即沒有激活邏輯運算設(shè)置窗口時， 邏輯 運算屬性添加窗口 為不可用狀態(tài) 。如圖所示： 當事件多于 2 個時，會出現(xiàn) 關(guān)聯(lián)節(jié)點 ， 點擊 按鈕 ，在規(guī)則【條件】設(shè)置頁面會增加【關(guān)聯(lián)屬性】窗口，用于設(shè)置關(guān)聯(lián)事件間 的關(guān)聯(lián)條件屬性。 點擊邏輯運算按鈕 ，【邏輯運算屬性】窗口會增亮顯示，用于設(shè)置關(guān)聯(lián)事件間的關(guān)聯(lián)邏輯屬性。 關(guān)聯(lián)節(jié)點的按鈕分別是：添加邏輯運算符 ，添加條件表達式 ，刪除 。該事件會 與“事件 1”形成關(guān)聯(lián)事件，一同列于“關(guān)聯(lián)”節(jié)點下，顯示在條件管理樹上。 條件設(shè)置窗口：事件屬性、邏輯運算屬性、條件屬性，其中條件屬性窗口中可以設(shè)置條件、過濾器和資產(chǎn)屬性。 條件管理樹用于顯示設(shè)置的規(guī)則條件的結(jié)構(gòu)，其默認根節(jié)點為“事件 1”，要求必須在“事件 1”下至少設(shè)置一項條件才可以使得規(guī)則生效。 二、條件頁面： 條件是規(guī)則設(shè)置部分的核心部分，相當于規(guī)則處理的事件過濾器。 在規(guī)則屬性添加頁面，用戶可以定義規(guī)則的名稱，是否啟用，規(guī)則描述。當事件發(fā)生時，先進入某一條規(guī)則，進行判斷，看是否滿足其【條件 】設(shè)置，滿足條件后，再判斷是否滿足【計數(shù)】設(shè)置，如果也滿足，則會按照【動作】設(shè)置執(zhí)行提示動作，提示管理員某類事件發(fā)生了。規(guī)則頁面包含【屬性】、【條件】、【計數(shù)】和【動作】四個分頁，用戶可以通過鼠標點擊分頁卡實現(xiàn)這四個頁面的切換顯示，進行相關(guān)的設(shè)置操作。設(shè)置網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 33 一條規(guī)則，必須至少設(shè)置規(guī)則名稱、是否啟用，并設(shè)置至少一項規(guī)則條件，才可以使得規(guī)則生效。 在歷史分析場景列表頁面可以進行規(guī)則數(shù)據(jù)的添加、修改、刪除操作。 顯示規(guī)則列表 所謂規(guī)則列表即指某一個規(guī)則組節(jié)點下的所有規(guī)則數(shù)據(jù)。即完成了規(guī)則組的導(dǎo)出備份操作。 導(dǎo)出規(guī)則組 導(dǎo)出規(guī)則組指將某一指定規(guī)則組中的全部規(guī)則數(shù)據(jù)保存?zhèn)浞莸奖镜赜脖P上。 網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 32 刪除規(guī)則組 在進行刪除規(guī)則組操作前，用戶需要先指定某一個規(guī)則組。用戶根據(jù)需要在文本框只接進行修改，并點擊【確定 】按鈕即可完成修改操作。 鼠標選定預(yù)備修改的規(guī)則組節(jié)點，然后點擊規(guī)則管理樹上方的工具條中的【修改規(guī)則組】按鈕，在規(guī)則管理樹和工具條之間會顯示該規(guī)則組的修改頁面。 規(guī)則管理樹及時刷新，顯示新添加的規(guī)則組節(jié)點。 用戶按照需 要，在提示文字后面的空白文本框中設(shè)置新數(shù)據(jù)的屬性信息。對規(guī)則管理樹的組織管理方式包括規(guī)則組的添加、修改、刪除操作，以及刷新樹結(jié)構(gòu)的操作。 規(guī)則 規(guī)則組管理 SecFoxSAS 規(guī)則管理采用分組管理的形式統(tǒng)一管理規(guī)則數(shù)據(jù)。 用戶在制定規(guī)則的時候，既可以設(shè)定安全事故的觸發(fā)條件，也可以設(shè)定觸發(fā)安全事故后的自動響應(yīng)動作。用戶定義了過濾器之后，可以進行各種復(fù)雜的事件分析場景設(shè)置。 SecFoxSAS 在事件分析引擎的驅(qū)動下，根據(jù)事件關(guān)聯(lián)規(guī)則，針對來自企業(yè)和組織的海量事件進行關(guān)聯(lián)分析，抽取出對于安全管理人員真正有用的安全信息，從而協(xié)助安全管理人員快速識別安全事故。 第 6 章 規(guī)則管理 SecFoxSAS 規(guī)則 管理包括 規(guī)則和過濾器兩個部分。 事件統(tǒng)計數(shù)據(jù) ： 對 記錄數(shù)據(jù) 的統(tǒng)計列表 。 柱型統(tǒng)計圖以清晰、直觀的方式為 網(wǎng)絡(luò)管理員 提供 事件 統(tǒng)計 信息， 安全 管理員 分析網(wǎng)絡(luò)安全管理。用戶可以通過鼠標點擊分頁卡實現(xiàn)這兩個頁面的切換顯示。 事件統(tǒng)計顯示 選定事件統(tǒng)計管理樹上的某一個 事件統(tǒng)計 場景節(jié)點，鼠標點擊，在右側(cè)的功能顯示頁面會按照該 事件統(tǒng)計 場景設(shè)置的 統(tǒng)計 條件顯示 相應(yīng)的事件統(tǒng)計 數(shù)據(jù)。 事件統(tǒng)計 場景列表及時刷新，不再顯示已經(jīng)刪除的場景數(shù)據(jù)。 事件統(tǒng)計 管理樹及時刷新，顯示修改后的場景節(jié)點。完成頁面的修改設(shè)置后，點 擊【確定 】按鈕完成 事件統(tǒng)計 場景的修改操作。 在事件統(tǒng)計場景列表頁面選定一條需要修改的 事件統(tǒng)計 場景，即將該條數(shù)據(jù)前的復(fù)選框打勾，點擊工具條中的【修改】按鈕，場景列表頁面及時更換為 事件統(tǒng)計 場景的修改頁面。事件統(tǒng)計管理樹及時 刷新，在對應(yīng)的事件統(tǒng)計組顯示新添加的 事件統(tǒng)計 場景節(jié)點。設(shè) 置新數(shù)據(jù)信息后，點擊【確定 】按鈕，完成 事件統(tǒng)計 場景的添加操作。 添加事件統(tǒng)計場景 在事件統(tǒng)計場景列表頁面，點擊工具條上的【添加】按鈕，場景列表頁面及時更換為 事件統(tǒng)計 場景的添加頁面。 鼠標點擊預(yù) 備查看的事件統(tǒng)計組節(jié)點，右側(cè)功能顯示頁面會及時顯示該 事件統(tǒng)計 組下的 事件統(tǒng)計 場景列表。 顯示 事件統(tǒng)計場景列表 所謂事件統(tǒng)計場景列表，指的是在某一個事件統(tǒng)計組下的所有事件統(tǒng)計條件列表。通過鼠標點擊事件統(tǒng)計場景，可以在功能顯示頁面查看不同 設(shè)置 條件下的事件統(tǒng)計數(shù)據(jù)。 事件統(tǒng)計場景管理 SecFoxSAS 事件統(tǒng)計 向管理員展示事件的統(tǒng)計數(shù)據(jù)，通過柱型統(tǒng)計圖的顯示形式， 使得 統(tǒng)計數(shù)據(jù)清晰化、形象化 ,。 刪除事件統(tǒng)計組 在進行刪除事件統(tǒng)計組操作前，用戶需要先指定某一個 事件統(tǒng)計 組。用戶根據(jù)需要在文本框 直接 進行修改，并點擊【確定 】按鈕即可完成修改操作。 鼠標選定預(yù)備修改的事件統(tǒng)計組節(jié)點，然后點擊 事件統(tǒng)計 管理樹上方的工具條中的【修改 事件統(tǒng)計 組】按鈕，在 事件統(tǒng)計 管理樹和工 具條之間會顯示該 事件統(tǒng)計 組的修改頁面。 事件統(tǒng)計 管理樹及時刷新，顯示新添加的 事件統(tǒng)計 組節(jié)點。 用戶按照需 要，在提示文字后面的空白文本框中設(shè)置新數(shù)據(jù)的屬性信息。對 事件統(tǒng)計 管理樹的組織管理方式包括 添加、修改、刪除 事件統(tǒng)計 組操作，以及