概覽

TDM是Threat Detection Module的簡稱。於TDM概覽頁預設顯示一週的告警趨勢TOP10/事件TOP10/主機事件清單/網路事件清單,可使用Time Picker變更資料區間

safe3107

1. 告警

    (1) 告警圓餅圖:依據告警嚴重程度劃分圓餅圖。

    (2) 告警事件清單:依據規則名稱列出最後一次告警(時間)/告警筆數/嚴重程度清單。

    (3) 點擊「檢視偵測」將開啟TDM偵測儀表板頁。

2.告警趨勢TOP10:預設顯示一週的TDM偵測告警時間趨勢圖。

    點擊「檢視偵測」將開啟TDM偵測儀表板頁。

3. 事件TOP10:預設顯示一週主機事件時間趨勢圖。

    點擊「檢視事件」將開啟TDM主機事件儀表板頁。

4. 主機事件:預設顯示一週主機事件統計清單。

    點擊「檢視主機」將開啟TDM主機儀表板頁。

5. 網路事件:預設顯示一週網路事件統計清單。

    點擊「檢視網路」將開啟TDM網路事件儀表板頁。

AD 儀表板

於左側目錄選擇「TDM」->「AD」進入AD事件表板,預設顯示最近7天含有safe_tag:AD的日誌主機事件Timeflow/帳號建立、刪除、鎖定、啟用、禁用事件數量/登入失敗超過三次的主機清單。

主機

於左側目錄選擇「TDM」->「主機」進入主機儀表板,於上方顯示主機數量/使用者認證/唯一IP的時間趨勢圖。

1. 主機頁籤:顯示主機名稱/最近一筆日誌時間/操作系統/操作系統版本。

2. 認證頁籤:預設顯示最近七天的主機及使用者認證資訊。

(1) 主機認證事件:主機認證事件之時間趨勢圖。

(2) 使用者認證事件:使用者認證事件資訊列表。

3. 事件頁籤:預設顯示最近七天的主機事件TOP10時間趨勢圖及事件資訊清單。

safe3109

使用者

於左側目錄選擇「TDM」->「使用者」進入使用者儀表板,於上方顯示使用者數量/使用者認證時間趨勢圖。

1. 使用者頁籤:預設顯示最近七天使用者名稱/最近一筆日誌時間/主機名稱/網域/操作系統版本。

2. 認證頁籤

(1) 預設顯示最近七天的主機認證事件時間軸。

(2) 使用者認證事件:以清單顯示使用者名稱/成功及失敗認證事件總數/最後一次成功認證的時間、來源主機IP及網域/最後一次失敗認證的時間、來源主機IP及網域。

3. 事件頁籤:預設顯示最近七天的使用者事件TOP10時間趨勢圖及使用者事件資訊清單。

safe3109

偵測

於左側目錄選擇「TDM」->「主機」進入主機儀表板,於上方顯示偵測事件TOP10的時間趨勢圖,並於下方列出偵測事件清單。

1. 偵測規則管理:點擊「規則管理」進入規則管理頁面。

自訂頁籤


(1) 新增自訂規則:點擊「新增」開啟新增規則編輯頁。

safe3107

 

 1-1. 基本資料填寫

  1-1-1. 名稱:必填欄位,系統管理者自行輸入自訂偵測規則名稱,應低於128字元。

  1-1-2. 描述:必填欄位,系統管理者自行輸入自訂偵測規則描述,應低於1024字元。

  1-1-3. 嚴重程度:必選欄位,下拉選單選擇嚴重程度,嚴重/高/中/低。

  1-1-4. 風險評分:必填欄位,選擇嚴重程度後,系統會自動帶入符合嚴重程度的風險評分,系統管理員亦可自行輸入,僅能輸入數字且值應該在1和100之間。

  1-1-5. 標籤: 選填欄位,系統管理者可針對該偵測規則訂定標籤。

  1-1-6. 網址:點擊icon,系統管理員可新增參考網址。

  1-1-7. MITRE ATT&CK™ threat:點擊icon,系統管理員可新增策略網址。

 1-2. 條件設定

safe3107

 

  1-2-1. 過濾條件名稱:必選欄位,下拉選單選擇過濾條件名稱。選擇後可點擊「預覽」查看符合過濾條件的日誌內容,預設顯示最近七天日誌內容。

safe3107

  1-2-2. 資料範圍:必填欄位,系統管理員輸入排程查詢的資料範圍,僅能輸入數字且值應該在1和99999之間,資料範圍不可大於執行頻率。

  1-2-3. 門檻值:必填欄位,系統管理員下拉選單選擇判斷式並輸入筆數,僅能輸入數字且值應該在1和99999之間。

  1-2-4. 執行頻率:必填欄位,系統管理員輸入排程的執行頻率,僅能輸入數字且值應該在1和99999之間。

 1-3. 通報機制:勾選Checkbox選擇使用Email發送偵測通報,下拉選單選擇收信角色群組,系統管理員可自行輸入Email地址及自訂信件主旨。

safe3107

 1-4. 點擊「完成」將自訂偵測規則儲存。並需於自訂偵測管理頁面點擊「套用」才可啟用偵測作業。

(2) 匯入:點擊「匯入」icon,開啟檔案上傳視窗,可將自訂規則des3檔匯入。

import ch

(3) 匯出:於自訂規則管理列表頁,將欲匯出的自訂規則checkbox勾選後,點擊「匯出」,即可將指定規則以des3檔案形式匯出。

Rule Export CN

AD頁籤

僅對含有safe_tag:AD的日誌主機事件進行偵測,且須使用含AD權限的License。

AD CN

1. 編輯AD偵測規則:點擊編輯icon,開啟編輯規則頁面。

 1-1. 基本資料:預設系統自行填入,僅可編輯建議採取措施。

edit_ad.png

 1-2. 條件設定

safe3107

  1-2-1. 過濾條件名稱:不可編輯。

  1-2-2. 資料範圍:必填欄位,系統管理員輸入排程查詢的資料範圍,僅能輸入數字且值應該在1和99999之間,資料範圍不可大於執行頻率。

  1-2-3. 門檻值:必填欄位,系統管理員下拉選單選擇判斷式並輸入筆數,僅能輸入數字且值應該在1和99999之間。

  1-2-4. 執行頻率:必填欄位,系統管理員輸入排程的執行頻率,僅能輸入數字且值應該在1和99999之間。

 1-3. 通報機制:勾選Checkbox選擇使用Email發送偵測通報,下拉選單選擇收信角色群組,系統管理員可自行輸入Email地址及自訂信件主旨。

safe3107

 1-4. 點擊「完成」將官方偵測規則儲存。並需於偵測管理頁面點擊「套用」才可啟用偵測作業。

AD CN2

2. 點擊safe3126icon,可查看事件清單,內容包含基本資料及事件清單。

事件1.png

事件2.png

Malicious頁籤
(1) 中繼站清單告警設定,僅能提供編輯排程及通報設定。

Malicious CN

(2) 列表功能介紹

 1. 點擊編輯icon,開啟編輯規則頁面,預設系統自行填入。

 Malicious edit CN

 1-2. 條件設定

 relay ch

1-2-1. 過濾條件名稱:不可編輯。

  1-2-2. 資料範圍:必填欄位,系統管理員輸入排程查詢的資料範圍,僅能輸入數字且值應該在1和99999之間,資料範圍不可大於執行頻率。

  1-2-3. 門檻值:必填欄位,系統管理員下拉選單選擇判斷式並輸入筆數,僅能輸入數字且值應該在1和99999之間。

  1-2-4. 執行頻率:必填欄位,系統管理員輸入排程的執行頻率,僅能輸入數字且值應該在1和99999之間。

1-3. 通報機制:勾選Checkbox選擇使用Email發送偵測通報,下拉選單選擇收信角色群組,系統管理員可自行輸入Email地址及自訂信件主旨。

safe3107

 1-4. 點擊「完成」將中繼站清單告警儲存。並需於偵測管理頁面點擊「套用」才可啟用偵測作業。

relay ch2

 2. 點擊safe3126icon,可查看事件清單,內容包含基本資料及事件清單。

事件2.png

3. 白名單設定

3-1. 點擊whitelist ch開啟白名單設定頁,可輸入ipv4及domain。輸入完畢後點擊儲存,並於列表頁再次點擊「套用」。

whitelist config ch

OS 頁籤
(1) OS告警設定,僅能提供編輯排程及通報設定。

OS ch 

(2) 列表功能介紹

 1. 點擊編輯icon,開啟編輯規則頁面,預設系統自行填入。

os ch2

 1-2. 條件設定

os ch3

1-2-1. 過濾條件名稱:不可編輯。

  1-2-2. 資料範圍:必填欄位,系統管理員輸入排程查詢的資料範圍,僅能輸入數字且值應該在1和99999之間,資料範圍不可大於執行頻率。

  1-2-3. 門檻值:必填欄位,系統管理員下拉選單選擇判斷式並輸入筆數,僅能輸入數字且值應該在1和99999之間。

  1-2-4. 執行頻率:必填欄位,系統管理員輸入排程的執行頻率,僅能輸入數字且值應該在1和99999之間。

1-3. 通報機制:勾選Checkbox選擇使用Email發送偵測通報,下拉選單選擇收信角色群組,系統管理員可自行輸入Email地址及自訂信件主旨。

safe3107

 1-4. 點擊「完成」將OS告警儲存。並需於偵測管理頁面點擊「套用」才可啟用偵測作業。

os ch4

 2. 點擊safe3126icon,可查看事件清單,內容包含基本資料及事件清單。

事件2.png

Cloud 頁籤
(1) Cloud 告警設定,僅能提供編輯排程及通報設定。

cloud ch

(2) 列表功能介紹

 1. 點擊編輯icon,開啟編輯規則頁面,預設系統自行填入。

cloud ch2

 1-2. 條件設定

cloud ch3

1-2-1. 過濾條件名稱:不可編輯。

  1-2-2. 資料範圍:必填欄位,系統管理員輸入排程查詢的資料範圍,僅能輸入數字且值應該在1和99999之間,資料範圍不可大於執行頻率。

  1-2-3. 門檻值:必填欄位,系統管理員下拉選單選擇判斷式並輸入筆數,僅能輸入數字且值應該在1和99999之間。

  1-2-4. 執行頻率:必填欄位,系統管理員輸入排程的執行頻率,僅能輸入數字且值應該在1和99999之間。

1-3. 通報機制:勾選Checkbox選擇使用Email發送偵測通報,下拉選單選擇收信角色群組,系統管理員可自行輸入Email地址及自訂信件主旨。

safe3107

 1-4. 點擊「完成」將Cloud告警儲存。並需於偵測管理頁面點擊「套用」才可啟用偵測作業。

cloud ch4

 2. 點擊safe3126icon,可查看事件清單,內容包含基本資料及事件清單。

事件2.png

 Elastic頁籤
(1) 中繼站清單告警設定,僅能提供編輯排程及通報設定,規則可參考https://github.com/elastic/detection-rules/tree/main/rules網站

elastic ch

(2) 列表功能介紹

 1. 點擊編輯icon,開啟編輯規則頁面,預設系統自行填入。

 elastic ch2

 1-2. 條件設定

 elastic ch3

1-2-1. 過濾條件名稱:不可編輯。

  1-2-2. 資料範圍:必填欄位,系統管理員輸入排程查詢的資料範圍,僅能輸入數字且值應該在1和99999之間,資料範圍不可大於執行頻率。

  1-2-3. 門檻值:必填欄位,系統管理員下拉選單選擇判斷式並輸入筆數,僅能輸入數字且值應該在1和99999之間。

  1-2-4. 執行頻率:必填欄位,系統管理員輸入排程的執行頻率,僅能輸入數字且值應該在1和99999之間。

1-3. 通報機制:勾選Checkbox選擇使用Email發送偵測通報,下拉選單選擇收信角色群組,系統管理員可自行輸入Email地址及自訂信件主旨。

safe3107

 1-4. 點擊「完成」將Elastic告警儲存。並需於偵測管理頁面點擊「套用」才可啟用偵測作業。

elastic ch4

 2. 點擊safe3126icon,可查看事件清單,內容包含基本資料及事件清單。

事件2.png

網路

1. 以世界地圖呈現網路流量圖。

2. 四宮格:顯示網路事件數/DNS查詢數/唯一流量ID個數/網路輸入及網路輸出流量。

3. 折線圖:顯示唯一的私有來源/目標IP個數時間軸。

黑名單

1. 於左側目錄點擊「TDM」>「黑名單」進入黑名單管理頁,系統管理員可於此處新增/刪除黑名單主機。

(1) 新增黑名單:點擊「新增+」icon,開啟新增黑名單輸入框,於輸入框輸入黑名單主機IP後點擊「儲存」,可支援ipv4/ipv6及Domain name。

(2) 匯入黑名單

hui ru hei ming dan

2-1. 匯入範本下載:點擊safe3138icon可下載黑名單匯入範本CSV檔。

2-2. 更新黑名單:將黑名單CSV檔上傳於上傳輸入框,點擊「更新」,完成黑名單更新。

import bl ch

2-2-1. 匯入規則:ip欄位不能重複而且格式要符合IPv4、IPv6、網域名稱(最多127段,總長限制253字元,每段限制63字元,內容只能是小寫英文、數字或是破折號「-」,每段頭尾不能是破折號「-」,頭尾不能是句點「.」)

2-2-1. 刪除舊黑名單:勾選後將清除原有黑名單主機清單,並匯入新黑名單清單。

(3) 編輯黑名單:點擊safe3 1 225icon,編輯黑名單主機。

bian ji hei ming dan

(4) 刪除黑名單:點擊safe3140icon,將黑名單主機刪除。

(5) 啟用黑名單:將來源IP及目的IP於解析規則頁的欄位設定內改為「safe_sourceIP」及「safe_destinationsIP」後點擊「勾選套用」,並於偵測官方頁籤啟用Black List告警。

lan wei she ding

black list apply ch