SOC用户手册.doc

文档命名 LinkTrust UG SOC 013 CN 100 DO LILL 080321 I 文档编号 2713007100I 操作和使用手册操作和使用手册 Linktrust SOC System User Guide版本控制版本控制 I 版本控制版本控制 版本号版本号日期日期状态状态变更说明变更说明修订人修订人审核人审核人 V3 1 02008 03 21C创建 SOC3 0 用户手册李玲玲李玲玲 状态标识 状态标识 C Created A Added M Modified D Deleted Linktrust SOC System User Guide版本控制版本控制 I 目目录录 版本控制版本控制 I 前言前言 1 简介 1 预期读者 1 用户登录用户登录 2 登录 2 系统首页 2 个人信息维护 3 相关链接 4 关于 SOC 5 退出系统 6 常见的登录错误 6 个人工作台个人工作台 6 风险概览 7 威胁级别分布图 7 最近30天告警数量变化图 8 告警信息列表 8 风险最高的5个资产列表 12 最严重的5种漏洞列表 13 安全功能 14 待办事宜 14 信息搜索 15 风险管理系统风险管理系统 16 首页 16 总体风险仪表板 16 风险最高的 5 个资产 17 最近 30 天告警数量变化 17 告警信息 17 当天风险信息 17 威胁级别分布图 18 24 小时威胁曲线图 18 漏洞状态分布图 19 漏洞级别分布图 19 业务系统威胁事件柱状图 19 业务系统漏洞柱状图 19 Linktrust SOC System User Guide版本控制版本控制 II 级别最高的 5 种威胁 20 数量最多的 5 种威胁 21 威胁最多的 5 个资产 22 威胁最高的 5 个端口 23 数量最多的 5 类威胁 24 严重级别最高的 5 种漏洞 25 SOC各组件状态概览 26 SOC告警监控 28 SOC威胁监控 30 风险管理 31 风险级别小图标 31 地域风险 32 资产风险 32 业务系统风险 34 资产管理 35 业务系统管理 36 新建子系统 37 修改业务系统 37 删除业务系统 38 业务系统权限设置 38 增加权限 39 修改权限 40 删除权限 41 资产管理 41 查看资产详细信息 41 查看风险信息 42 新建资产 42 修改资产 43 删除资产 44 资产查询 44 资产导入 45 资产导出 45 工单预警 46 工单管理 46 正式工单管理 46 查看工单详细信息 47 手工创建正式工单 47 工单接受 48 工单退回 48 工单重新分配 49 填写工单处理结果 50 工单求助 51 转工单 52 结束工单 52 Linktrust SOC System User Guide版本控制版本控制 III 验证工单 52 驳回工单 53 关闭工单 54 已完成工单 54 个人工单完成情况 55 预备工单管理 55 查看预备工单详细信息 56 删除预备工单 56 预备工单转正式工单 56 预警管理 57 预警查看 58 查看已确认预警列表 58 查看已确认预警详细信息 59 查看待确认预警列表 60 查看待确认预警详细信息 60 查看过期预警列表 61 查看过期预警详细信息 61 查看存档预警列表 62 查看存档预警详细信息 62 查询预警 63 预警维护 63 预警创建 64 预警发布 68 预警组管理 70 统计分析 72 报表分组管理 72 显示报表分组 72 显示报表分组详细信息 73 新建报表分组 73 修改报表分组 74 删除报表分组 75 报表管理与查看 76 显示报表列表 76 查看报表定义 76 新建报表 77 修改报表 79 运行报表 81 删除报表 81 复制报表 82 查询报表 83 知识库管理 83 设备事件类型 84 查看知识库详细信息 84 新增知识库信息 85 Linktrust SOC System User Guide版本控制版本控制 IV 查询知识库 87 系统管理 89 用户管理 89 用户 89 查看用户详细信息 89 修改用户 90 用户权限设置 90 重置密码 91 查询用户 91 用户组 92 修改用户组 92 用户组权限设置 93 角色 94 新建角色 94 修改角色 94 删除角色 95 角色设置 95 公司管理 96 查看公司详细信息 96 新建公司 97 修改公司 98 删除公司 99 响应管理 99 查看响应详细信息 100 新建响应 100 修改响应 101 删除响应 102 响应规则优先级调整 102 查看所有响应规则 102 日志管理 102 用户日志 102 用户日志查询 103 用户日志导出 104 系统日志 104 查询系统日志 104 导出系统日志 105 系统设置 105 标准系统 105 查看资产类别 107 登录策略设定 107 地理位置定义 108 系统参数设置 110 日志策略设置 110 网络管理 110 Linktrust SOC System User Guide版本控制版本控制 V 新建网络 110 修改网络 111 删除网络 112 备份数据管理 112 删除备份数据 112 导出备份数据 113 许可证信息 113 附录附录 115 附录 A 扫描漏洞格式说明 115 概述 115 接口规范 115 DTD文件说明 116 XML Sample 119 附录 B 配置脆弱性格式说明 122 Linktrust SOC System User Guide前言前言 1 前言前言 简介简介 本手册是 SOC 系统的操作指南 介绍了各组件的使用方法以及系统术语对照表 适合于 SOC 系统的所 有用户 是用户使用 管理 维护 SOC 系统的参考文档 预期读者预期读者 本手册的读者应为管理 SOC 系统的系统管理员 SOC 系统运行过程中的操作人员 以及其他需与本系 统进行交互的人员 Linktrust SOC System User Guide 用户登录用户登录 2 用户登录用户登录 登录登录 系统页面的登录地址为 http xxx xxx xxx xxx SOC 其中 xxx xxx xxx xxx 为部署 SOC 应用服务器的主机的实际 IP 地址 用户在浏览器中输入以上的 URL 即可访问到 SOC 系统登录界面 如下 图所示 在登录页面输入用户名 密码和验证码 点击 登录 按钮 SOC 系统的首 页 各项目文档的目录 可根据实际需要进行设置 其中 还可包括 图 目录 和 表目录 对于 图 表目录 您可根据实际情况进行设置 系统首页系统首页 用户登录成功后 系统将显示出 SOC 系统的首页 如图 Linktrust SOC System User Guide 用户登录用户登录 3 个人信息维护个人信息维护 用户登录 SOC 系统时 可以修改其密码 也可以同时修改用户其他信息 点击页面最右上侧的 小图标 弹出 修改个人信息 对话框 如 下图所示 Linktrust SOC System User Guide 用户登录用户登录 4 修改完相应信息之后 点击 提交 按钮 用户下次需使用新口令登录 SOC 系统 相关链接相关链接 点击 图标 系统显示出设置好的网页链接以及个人链接管理 用 户可点击个人链接管理 系统显示 相关链接管理 页面 如下图所示 Linktrust SOC System User Guide 用户登录用户登录 5 在此对话框中 可新建 修改 删除链接 关于关于 SOC 点击页面最右侧的 小图标 系统弹出 SOC 对话框 显示 SOC 系统 版本以及版权信息 如下图所示 Linktrust SOC System User Guide个人工作台个人工作台 6 退出系统退出系统 用户需退出系统时 需点击页面最右侧的 小图标 系统将自动退 出 常见的登录错误常见的登录错误 1 输入错误 系统会提示用户重新输入 如用户名错误 密码错误 验 证码错误 如果是验证码错误 系统提示 验证码错误 如果是用 户名或者密码错误 为防止非法用户猜测用户名和密码 确保系统安 全 系统一律提示 登录失败 的字样 2 无法连接数据库进行验证 系统将提示用户 3 用户已经登录 重复登录时系统只保持一个 SOC 系统的 IE 窗口 个人工作台个人工作台 用户登录 SOC 系统后 系统显示出属于该用户的个人工作台页面 如图 Linktrust SOC System User Guide个人工作台个人工作台 7 个人工作台包含三部分内容 风险概览 各项安全功能的链接 该用户的 各项待办事宜 以及系统信息搜索功能 风险概览风险概览 风险概览可呈现出业务系统 地域相关资产的当前 历史总体风险状况 具有以下的内容 威胁级别分布图威胁级别分布图 Linktrust SOC System User Guide个人工作台个人工作台 8 系统按照极度风险 高风险 中风险 低风险 微风险显示威胁级别分布 饼图 最近最近 30 天告警数量变化图天告警数量变化图 系统按照资产告警 业务系统告警 地域告警显示最近 30 天告警数量变化 折线图 告警信息列表告警信息列表 告警信息列表显示了前 5 条用户需确认的告警信息 在需确认的告警信息列表中 告警列表中所显示的除了为需要确认的告警 还包括转工单 工单未关闭 的告警 如图 点击 更多 系统弹出对话框分页呈现该视图下所有需确认的告警列表 如图 Linktrust SOC System User Guide个人工作台个人工作台 9 在告警信息列表中 点击某一对象 可能是一个业务系统名 地域名或资 产名 系统弹出对话框 显示这个对象上需确认或者被转为工单的告警 的详细信息列表 如图 Linktrust SOC System User Guide个人工作台个人工作台 10 点击事件名称 可查看该事件的详细信息 点击 转工单 系统弹出告警转工单对话框 输入原因分析 处理意见 等信息后 点击 分配工单 可为告警生成工单 如图 Linktrust SOC System User Guide个人工作台个人工作台 11 点击 工单 可查看已转工单的详细信息 并可在知识库中进行查询 如图 Linktrust SOC System User Guide个人工作台个人工作台 12 点击列表上方的 确认所有 确认选中 可一次性分别对所有需确 认告警 已选中的多个需确认告警进行确认 风险最高的风险最高的 5 个资产列表个资产列表 点击某个资产名称 系统弹出 资产风险信息 对话框 显示该资产详细 的风险信息 如图 Linktrust SOC System User Guide个人工作台个人工作台 13 对资产风险信息的详细操作 请参见风险管理模块对资产风险的描述 最严重的最严重的 5 种漏洞列表种漏洞列表 点击某个漏洞名称 系统弹出对话框显示具有该漏洞的资产列表 如图 Linktrust SOC System User Guide个人工作台个人工作台 14 在其中点击资产名称 可查看该资产的详细风险信息 参见风险管理模块 资产风险的描述 安全功能安全功能 个人工作台提供了用户使用系统安全功能的链接以及登录用户具有权限的 子系统链接 如图 目前提供了四种安全功能的链接 用户管理 风险管理系统 SOC 安 全信息系统 SEM 脆弱性管理系统 CVMS 各安全功能的详细描述请参见本文档的相关部分 待办事宜待办事宜 待办事宜列出了该用户需处理的工单 预警的统计信息 如图 Linktrust SOC System User Guide个人工作台个人工作台 15 点击某个统计数字 系统显示出工单预警系统的相关处理页面 用户可进 行工单预警的各项操作 工单预警操作的具体描述请参见工单预警模块 信息搜索信息搜索 个人工作台的右侧上部提供了用户进行信息搜索的功能 如图 用户可输入要搜索的关键字 选择好选择框中的搜索范围 点击 搜索 按钮 系统将搜索结果呈现在弹出的对话框中 如图 Linktrust SOC System User Guide风险管理系统风险管理系统 16 风险管理风险管理系统系统 首页首页 风险管理系统首页默认显示了各种信息概览 与风险相关的系统信息 系 统的总体风险信息 如下图所示 总体风险仪表板总体风险仪表板 点击风险管理系统首页左上部 信息概览 中的 总体风险仪表板 进 入风险信息页面 默认显示总体风险信息 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 17 以下相信介绍各部分功能 风险最高的风险最高的5个资产个资产 对该列表的操作可参见个人工作台部分对风险最高的 5 个资产列表的描述 最近最近30天告警数量变化天告警数量变化 对该列表的操作可参见个人工作台部分对最近 30 天告警数量变化的描述 告警信息告警信息 告警信息列表显示了前 5 条用户需确认的告警信息 对该列表的操作可参 见个人工作台部分对告警信息的描述 当天风险信息当天风险信息 在首页的总体风险仪表板页面中 点击上部的 当天风险信息 标签 系 统显示出当天风险信息的各种图表 如图 Linktrust SOC System User Guide风险管理系统风险管理系统 18 显示的内容包括 威胁级别分布图 24 小时威胁曲线图 漏洞状态分布图 漏洞级别分布图 业务系统威胁事件柱状图 业务系统漏洞柱状图 级别 最高的 5 种威胁 数量最多的 5 种威胁 威胁最多的 5 个资产 威胁最高 的 5 个端口 数量最多的 5 类威胁 严重级别最高的 5 种漏洞 威胁级别分布图威胁级别分布图 系统显示由微风险 低风险 中风险 极度风险组成的威胁级别分布饼图 24小时威胁曲线图小时威胁曲线图 系统显示以时间为横轴 威胁数量为竖轴的 24 小时威胁曲线图 Linktrust SOC System User Guide风险管理系统风险管理系统 19 漏洞状态分布图漏洞状态分布图 系统显示以重现 修复 新增 活动 容忍为内容的漏洞状态分布饼图 漏洞级别分布图漏洞级别分布图 系统显示由微风险 低风险 中风险 极度风险组成的漏洞级别分布饼图 业务系统威胁事件柱状图业务系统威胁事件柱状图 系统显示以业务系统为横轴 威胁数量为竖轴的柱状图 业务系统漏洞柱状图业务系统漏洞柱状图 系统显示以各业务系统为横轴 漏洞数量为竖轴的业务系统漏洞柱状图 Linktrust SOC System User Guide风险管理系统风险管理系统 20 级别最高的级别最高的5种种威胁威胁 点击某个威胁名称 系统弹出 威胁 漏洞列表 对话框 显示该威胁 的资产列表 如图 点击威胁 漏洞 列表中的资产名称 显示该资产风险详细信息 如下图 Linktrust SOC System User Guide风险管理系统风险管理系统 21 对资产风险信息的详细操作 请参见风险管理模块对资产风险的描述 数量最多的数量最多的5种种威胁威胁 点击某个威胁名称 系统弹出 威胁 漏洞列表 对话框 显示该威胁 的资产列表 如图 Linktrust SOC System User Guide风险管理系统风险管理系统 22 点击威胁 漏洞 列表中的资产名称 显示该资产风险详细信息 如下图 对资产风险信息的详细操作 请参见风险管理模块对资产风险的描述 威胁最多的威胁最多的5个资产个资产 Linktrust SOC System User Guide风险管理系统风险管理系统 23 点击某个资产名称 系统弹出 资产风险信息 对话框 如图 对资产风险信息的详细操作 请参见风险管理模块对资产风险的描述 威胁最高的威胁最高的5个端口个端口 点击某个威胁名称 系统弹出 威胁 漏洞列表 对话框 显示该威胁 的资产列表 如图 Linktrust SOC System User Guide风险管理系统风险管理系统 24 点击威胁 漏洞 列表中的资产名称 显示该资产风险详细信息 如下图 对资产风险信息的详细操作 请参见风险管理模块对资产风险的描述 数量最多的数量最多的5类类威胁威胁 数量最多的 5 类威胁列表 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 25 列表中显示了数量 TOP5 的威胁 严重级别最高的严重级别最高的5种漏洞种漏洞 点击某个威胁名称 系统弹出 威胁 漏洞列表 对话框 显示该威胁 的资产列表 如图 点击威胁 漏洞 列表中的资产名称 显示该资产风险详细信息 如下图 Linktrust SOC System User Guide风险管理系统风险管理系统 26 对资产风险信息的详细操作 请参见风险管理模块对资产风险的描述 SOC 各组件状态概览各组件状态概览 点击风险管理系统首页左上部 信息概览 中的 SOC 各组件状态概览 进入组件状态概览页面 如下图所示 在设备摘要信息中 点击组件名称 可查看该组件的日志信息 如图 Linktrust SOC System User Guide风险管理系统风险管理系统 27 页面下方显示数据库空间饼图 如图 数据库空间柱状图 如下图所示 磁盘空间饼图 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 28 CPU MUM 变化图 如下图所示 SOC 告警监控告警监控 点击风险管理系统首页左上部 信息概览 中的 SOC 告警监控 弹出 SOC 告警监控窗口 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 29 告警监控分为最新告警列表和处理中告警列表两个部分 在最新告警列表中 点击告警名称 可查看该资产详细信息 如下图所示 点击总次列下的数字 可查看告警风险详细信息 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 30 对最新告警列表中的威胁进行转工单操作后 该威胁在处理中的告警列表 中显示 确认风险 转工单 知识库 查看风险的操作可参考告警信息列表 SOC 威胁监控威胁监控 点击风险管理系统首页左上部 信息概览 中的 SOC 威胁监控 弹出 SOC 威胁监控窗口 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 31 查看威胁事件时 可选择时间段以及严重级别显示 监控完毕后 可点击页面右上方的 关闭监控 按钮 推出监控页面 风险管理风险管理 风险管理模块从地域 业务系统两个维度来显示被管理资产的风险状况 系统默认显示业务系统风险 如图 风险级别小图标风险级别小图标 在地域风险 业务系统风险列表中 都会有一个小图标来直观的表示其风 险等级 每一个小图标都代表着相应的风险状况 其中 大圆形图标表示 最近五分钟内一个地域 一个业务系统的总体风险 资产列表统一以大正 方形表示资产的当前风险 绿色表示微风险 其风险值在 0 5 级别最低 蓝色表示低风险 其风险 值在 5 15 黄色表示中风险 其风险值在 15 30 橙色表示高风险 其风 险值在 30 60 红色表示极度风险 其风险值在 60 100 级别最高 Linktrust SOC System User Guide风险管理系统风险管理系统 32 地域风险地域风险 在风险管理页面中 点击左侧的 地域风险 标签 系统显示出各地域的 风险状况 在地域风险页面中 系统分页显示出该地域下各资产的风险列表 如图 资产风险资产风险 将鼠标移至某个资产的级别图标 系统可显示出该资产的风险数值 点击 资产名称 系统则显示出该资产详细的风险信息 系统默认显示该资产的 风险概览 如图 Linktrust SOC System User Guide风险管理系统风险管理系统 33 资产风险概览页面显示了该资产的基本信息 配置情况 过去 30 天告警变 化图 过去 24 小时风险变化图 最近 5 条告警信息列表等内容 在告警列 表中 可查看相关告警的详细信息 进行告警的确认 转工单等操作 在资产风险页面中 点击上部的 威胁信息 标签 系统显示出该资产的 威胁信息 包括 过去 30 天原始事件曲线图 原始事件 TOP 柱状图 事件 列表等信息 如图 在资产风险页面中 点击上部的 脆弱性信息 标签 系统显示出该资产 的脆弱性信息 包括资产最新脆弱性列表 资产最新漏洞列表 资产配置 项列表等三个列表 如图 Linktrust SOC System User Guide风险管理系统风险管理系统 34 脆弱性信息的三个列表 均可通过点击操作栏的相关操作名对该资产的脆 弱性 漏洞 配置项进行操作 业务系统风险业务系统风险 Linktrust SOC System User Guide风险管理系统风险管理系统 35 在风险管理页面中 点击左侧的 业务系统风险 标签 系统默认显示出 各业务系统的风险概览 包括过去 30 天告警变化图 过去 24 小时风险变 化图 最近 5 条告警信息列表等内容 在告警列表中 可查看相关告警的 详细信息 进行告警的确认 转工单等操作 如图 在业务系统风险页面中 系统分页显示出该业务系统下各资产的风险列表 如图 对资产风险的操作与地域风险页面的资产风险操作相同 资产管理资产管理 资产管理模块主要包括两部分的功能 分别为业务系统的管理和业务系统 下资产的管理 包括新增 修改 删除 权限设置 定义资产安全基线等 一系列操作 系统默认显示根业务系统下相关的资产信息 包括业务系统树 选中业务 系统的基本信息 业务系统信息维护功能按钮 资产列表 资产信息维护 功能按钮 如图 Linktrust SOC System User Guide风险管理系统风险管理系统 36 选择级联显示 可显示出选中的业务系统及其所有子业务系统下资产的信 息列表 左侧业务系统树中的业务系统名称后的数字 代表了该业务系统及其所有 子业务系统下拥有的资产数量之和 如图 业务系统管理业务系统管理 业务系统管理功能通过页面右侧上方的功能按钮来操作 包括 新建子 系统 修改 删除 业务系统权限设置 等功能 如图 Linktrust SOC System User Guide风险管理系统风险管理系统 37 新建子系统新建子系统 在资产管理页面中 选中左侧业务系统树中的某个业务系统 点击页面右 侧上部的 新建子系统 按钮 系统弹出新建业务系统对话框 如图 用户需要填写业务系统名称 责任人 修改所属业务系统 设置该业务系 统的响应人和响应组 以及相关的描述信息 填写完点击 提交 按钮 就可在指定的业务系统下建立一个新的子业务系统 修改业务系统修改业务系统 在资产管理页面中 选中左侧业务系统树中需修改的某个业务系统 点击 页面右侧上部的 修改 按钮 系统弹出修改业务系统对话框 如图 用户可对除 所属业务系统 之外的其他属性进行修改 修改完成后 点 击 提交 即可 Linktrust SOC System User Guide风险管理系统风险管理系统 38 删除业务系统删除业务系统 在资产管理页面中 选中左侧业务系统树中需删除的某个业务系统 点击 页面右侧上部的 删除 按钮 系统弹出删除业务系统提示对话框 如图 点击 确定 即可删除选中的业务系统 点击 取消 返回资产管理页面 不作删除操作 如果选中的业务系统还包含有资产或子业务系统 则不能删除 需首先删 除掉其下的所有资产及子业务系统后才能对该业务系统进行删除操作 业务系统权限设置业务系统权限设置 用户登录进风险管理系统之后 系统会根据其权限 在业务系统树中显示 其具有操作权限的业务系统 在资产视图中 可以指用户或用户组在业务 系统中具有哪些资产操作角色 当业务系统被创建时 创建者和该资产所 属系统的系统管理员自动拥有该资产上的所有权限 在资产管理页面中 选中左侧业务系统树中需进行权限设置的某个业务系 统 点击页面右侧上部的 业务系统权限设置 按钮 系统弹出 业务系 统权限设置 对话框 如图 Linktrust SOC System User Guide风险管理系统风险管理系统 39 增加权限增加权限 在 业务系统权限设置 对话框中 点击 增加权限 按钮 首先在出现 的用户和用户组列表中选择用户或用户组 一次操作只能二选一 随后 从 所有角色 列表中选择需要增加的资产操作角色 角色被选中到已选 角色列表中 最多五个 最后选择是否把该设置应用所有子业务系统 完成后 点击 确定 按钮 如果该用户或用户组在父节点业务系统无查 看权限 提示用户是否提交保存 如图 Linktrust SOC System User Guide风险管理系统风险管理系统 40 修改权限修改权限 在 业务系统权限设置 对话框中 点击需要修改的业务系统所在行的 修改 按钮 显示 用户权限设置 如下图所示 添加或删除角色 进行权限修改后 确定即可 Linktrust SOC System User Guide风险管理系统风险管理系统 41 删除权限删除权限 在 业务系统权限设置 对话框中 点击 删除 按钮 系统弹出权限删 除提示对话框 如图 点击 确定 完成所选用户 用户组对该业务系统的操作权限的删除 点 击 取消 则取消删除操作 资产管理资产管理 资产管理功能通过页面右侧中部的功能按钮来操作 包括 新建 删除 查询 导入 导出 等功能 如图 查看资产详细信息查看资产详细信息 在资产管理页面中 页面右侧分页显示出选中业务系统下的资产列表 如 图 在列表中点击某个资产的名称 系统弹出 资产详细信息 对话框 如图 Linktrust SOC System User Guide风险管理系统风险管理系统 42 查看风险信息查看风险信息 在资产列表中 点击某个资产所在行的 查看风险 按钮 可查看该资产 的风险信息 如下图所示 在该对话框中 可对该资产进行风险管理 具体操作可参考风险管理部分 新建资产新建资产 点击资产列表上部的 新建 按钮 系统弹出 新增资产 对话框 如图 Linktrust SOC System User Guide风险管理系统风险管理系统 43 其中打 号的为必填项 其他为选填项 用户填写完成后 点击 提交 按钮 该新资产即可增加到资产列表中 修改资产修改资产 在资产列表中点击某个资产 操作 栏的 修改 操作 系统弹出 修改 资产 对话框 如图 Linktrust SOC System User Guide风险管理系统风险管理系统 44 用户可修改资产的各属性值 完成后点击 提交 按钮 即可实现对该资 产信息的修改 删除资产删除资产 在资产列表中选择要删除的资产 点击资产列表上部的 删除 按钮 系 统弹出 删除资产 提示对话框 如图 点击 确定 即可删除选中的资产 点击 取消 则返回资产列表 不作 删除操作 资产查询资产查询 在资产列表页面中 点击资产列表上部的 查询 按钮 系统弹出 资产 查询 对话框 如图 输入查询条件 点击 查询 按钮 查询结果返回到资产列表中 Linktrust SOC System User Guide风险管理系统风险管理系统 45 资产导入资产导入 在资产列表页面中 点击资产列表上部的 导入 按钮 系统弹出 资产 导入 对话框 如图 点击浏览按钮 选择文件路径后 将资产导入 资产导出资产导出 在资产列表页面中 点击资产列表上部的 导出 按钮 系统弹出 资产 导出 对话框 如图 选择需要导出的资产以及文件类型后 按导出即可 Linktrust SOC System User Guide风险管理系统风险管理系统 46 工单预警工单预警 SOC 系统工单管理包括预备工单管理和预警管理两个部分的功能 主要是 对工单操作的整个流程进行监督和管理 工单管理工单管理 正式工单管理正式工单管理 选择 工单管理 工单管理 在右侧的窗口中显示所有和用户相 关的正式工单情况 如下图所示 在列表中显示工单编号 严重程度 相关资产 监督人 处理人 创建人 状态 是否超时和类型等信息 其中监督人和创建人是同一个人 而处理 人是指工单的实际负责人 类型表示工单是因为何种原因创建的 例如针 对某一漏洞创建的工单 其类型为漏洞 工单在处理的不同过程中有不同的状态 分别对应不同类型的工单 下面 我们介绍工单的的一些概念和处理流程 工单类型工单类型相关说明相关说明 监督的工单是指监督由该用户手工创建和将预备工单转成正式工单的状态 待接受工单工单的响应人如果是该用户 则显示在该用户待接受的工单列 表中 该用户需要接受该工单才开始处理工单 用户可以进行 接受 退回等操作 处理中工单用户接受工单之后 工单的状态转为处理中 用户可填写工单 处理结果 结束该工单 已完成工单查看该用户已经完成的工单 Linktrust SOC System User Guide风险管理系统风险管理系统 47 查看工单详细信息查看工单详细信息 点击工单列表中的工单信息 弹出 工单详细信息 对话框 如下图所示 在资产风险详细信息中可以根据配置脆弱性 漏洞和攻击事件直接派发工 单 也可以是系统更具响应规则触发的工单 响应规则同样也是根据漏洞 配置脆弱性和攻击事件触发响应 因此生成的工单的类型也要对应配置脆 弱性 漏洞和攻击事件 还可以通过手工创建工单 手工创建的工单的 类型为其他 在工单的详细信息中可以查看派发工单的相关信息 如上 图 最上方的列表显示的工单相关的脆弱性信息 双击可以查看该配置脆 弱性的详细内容 除此以外 工单详细中还可以查看现象描述 原因分析 解决方案等内容 对于威胁类工单 显示威胁相关信息 漏洞类工单 显示漏洞相关信息 配置脆弱性工单 显示配置脆弱性相关信息 手工创建正式工单手工创建正式工单 手工创建的工单的类型为其他 点击工具栏中的 新建 按钮 如下图 所示 Linktrust SOC System User Guide风险管理系统风险管理系统 48 填写现象描述 原因分析 处理意见 严重程度 最长接受时间 最长处 理时间 资产编号等信息 并指定响应人和处理人 针对工单 用户还可 以上传附件 最多允许上传三个附件 点击 查询知识库 按钮 可以在 知识库中通过关键字搜索相关的知识 填写好工单信息之后 点击 分配工单 按钮 确认后生成工单信息 其 状态为 待接受 通知响应人并添加到响应人的待接受工单列表中 工单接受工单接受 工单列表中指定了工单的处理人 用户可以选中指定给自己的工单 点击 工具栏中的 接受 按钮 系统会提示 确定执行此项操作 点击 确定 按钮 如果成功接受工单 系统会通知相应的处理人 该工单的 状态改变为 处理中 如果没有通知到相关处理人 系统也会弹出错误 对话框 工单退回工单退回 工单列表中指定了工单的处理人 用户如果觉得某一工单不应该由自己处 理 点击工单所在行的 退回 按钮 弹出 工单退回 对话框 如下图 所示 Linktrust SOC System User Guide风险管理系统风险管理系统 49 填写退回原因 点击 确定 按钮 工单的状态变为 退回待分配 工单重新分配工单重新分配 工单创建人可以将退回的工单重新分配给其他用户进行处理 在工单列表 中选择状态为退回的工单 点击工具栏中的 分配 按钮 弹出 重新分 配工单 对话框 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 50 重新分配需要指定响应人和处理人 并选择通知方式 在备注栏内可填写 重新分配的原因等信息 点击 重新分配 按钮 该工单的状态重新变为 待接受 填写工单处理结果填写工单处理结果 在监督的工单中 对于已经结束的工单信息 工单创建人或监督者还可以 补充一些处理结果或意见 对于工单的响应人来说 接受工单之后 需要 填写工单的处理结果 点击工具栏中的 处理结果 按钮 弹出 填写工 单处理结果 对话框 如下图所示 工单响应人可以查看工单相关的漏洞 配置脆弱性或攻击事件的详细信息 也可以查看类似工单 点击 类似工单 按钮 显示所有类似的工单列表 所谓类似工单主要是根据生成工单的漏洞 配置脆弱性和攻击事件来确定 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 51 双击类似工单 会自动返回该工单的信息到手工创建的工单中 包括 现 象描述 原因分析 处理意见 处理结果 等内容 用户也 可以对此进行修改 点击 提交 按钮即可 工单求助工单求助 工单求助是指工单响应人无法处理该工单 可以向其他人员求助 希望其 他人员协助找到解决办法解决该工单 点击工具栏中的 求助 按钮 弹 出 工单求助 对话框 如下图所示 选择求助对象 确定之后 该工单转移到求助对象的求助工单列表中 求 助对象和响应人都可以继续填写任务单处理结果 Linktrust SOC System User Guide风险管理系统风险管理系统 52 转工单转工单 在工单处理过程中 可能需要多个人分阶段的处理 因此可以选择转给另 外一个人继续处理该工单 点击工具栏中的 转工单 按钮 弹出 转工 单 对话框 如下图所示 选择对象 确定之后 该工单转移到接受人的待接受任务单列表中 这里要区分两个概念 工单退回和转工单 工单退回是指被指定的工单响 应人认为该工单不是由自己来处理 可以将工单退回到监督人 而转工单 是指被指定的工单响应人认为希望转给同级别的其它响应人继续处理该工 单 结束工单结束工单 在工单处理完毕后 应结束该任务并返回给工单创建人或监督人 可以点 击工具栏中的 结束工单 按钮 系统会提示 确定结束所选工单 点击 确定 按钮 该工单的状态变为 结束 该工单转到已完成工单 列表 验证工单验证工单 针对漏洞 配置脆弱性和攻击事件而派发的工单 工单监督人需要验证工 单经过处理之后 是否还存在漏洞 配置脆弱性或者攻击事件 选择类型 为漏洞 脆弱性或威胁事件 状态为结束的工单 点击工具栏中的 验证 按钮 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 53 如果列表中还有漏洞 脆弱性或攻击事件等信息 表明该工单还没有解决 实际存在的问题 验证工单只是一个查看功能 提供给工单监督人查看工 单实际处理效果 驳回工单驳回工单 工单响应人在 工单处理完毕后 返回到工单监督人 工单监督人验证工单 之后 如果认为该工单处理结果不理想或者检查发现资产上的风险依旧 则驳回该工单 要求维护人员重新处理 点击工具栏中的 驳回 按钮 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 54 填写驳回理由 点击确定即可 关闭工单关闭工单 针对状态为 结束 的 工单 工单监督人确认工单处理结果后 可结束该 工单的处理流程 在工单列表选中该工单 点击工具栏中的 关闭 按钮 系统会提示 确定关闭所选 工单 点击 确定 按钮即可 至此一个 工单的处理流程结束 已完成工单已完成工单 选择 工单管理 已完成工单 在右侧的窗口中显示所有状态为 已完成的正式工单情况 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 55 个人工单完成情况个人工单完成情况 选择 工单管理 个人工单完成情况 在右侧的窗口中显示个人 工单的统计列表 如下图所示 系统默认显示一个月内个人工单完成情况 包括工单总数 完成数 处理 中的数目 待接受的数目 及时响应率和及时完成率 预备工单管理预备工单管理 预备工单管理是指系统根据用户定义的响应规则指定的响应方式为工单 预备工单是由响应规则触发的 响应规则的设置参见 系统管理 响应管 理 如果发现出现了符合响应规则的情况 那么系统就会自动触发预备 工单发送到响应人的预备工单列表中 选择 预备工单管理 在右侧的 窗口中显示所有的预备工单情况 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 56 查看预备工单详细信息查看预备工单详细信息 点击某预备工单信息 弹出 预备工单详细信息 对话框 如下图所示 删除预备工单删除预备工单 如果工单管理员认为响应规则触发的预备工单出现了误报等情况 那么可 以将其删除 选择要删除的工单信息 点击工具栏中的 删除 按钮 系 统会提示 确定删除所选预备工单 点击 确定 按钮即可 预备工单转正式工单预备工单转正式工单 工单管理员在审核了预备工单的基本情况 最好检查一下其匹配的响应规 则的详细内容 可以将其转为正式工单 选择要转为正式工单的预备工单 点击工具栏中的 转正式 按钮 弹出 预备工单转正式工单 对话框 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 57 分别填写相关信息 点击 分配工单 按钮即可 预警管理预警管理 预警管理分析安全管理平台中的安全监控事件 形成安全风险分析报告 安全管理员检查分析确认该分析报告后 生成安全预警工单 同时把安全 风险报告发布到安全系统的公告栏中 随时提醒用户进行安全风险防范 Linktrust SOC System User Guide风险管理系统风险管理系统 58 预警查看预警查看 选择 预警管理 进入到预警管理界面 系统默认显示 预警查看 模 块 如下图所示 查看已确认预警列表查看已确认预警列表 点击预警查看 确认预警 系统显示已确认预警列表 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 59 查看已确认预警详细信息查看已确认预警详细信息 点击已确认预警列表中的预警信息 弹出 预警详细信息 对话框 如下 图所示 已发布预警详细信息中 可以查看与之相关的资产信息 点击 查看相关 资产 链接 弹出相关资产列表窗口 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 60 查看待确认预警列表查看待确认预警列表 点击预警查看 确认预警 系统显示已确认预警列表 如下图所示 查看待确认预警详细信息查看待确认预警详细信息 点击列表中的预警名称 弹出 预警详细信息 对话框 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 61 查看过期预警列表查看过期预警列表 点击预警查看 过期预警 系统显示已确认预警列表 如下图所示 查看过期预警详细信息查看过期预警详细信息 点击需查看的预警在列表中的名称 弹出 过期预警详细信息 对话框 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 62 查看存档预警列表查看存档预警列表 点击预警查看 过期预警 系统显示已确认预警列表 如下图所示 查看存档预警详细信息查看存档预警详细信息 点击需查看的存档预警在列表中的名称 弹出 存档预警详细信息 对话 框 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 63 查询预警查询预警 点击工具栏中的 查询 按钮 弹出 预警查询 窗口 如下图所示 输入预警查询条件 点击 查询 按钮即可 预警维护预警维护 包括预警创建 预警发布以及预警组管理三部分 Linktrust SOC System User Guide风险管理系统风险管理系统 64 预警创建预警创建 创建预警创建预警 点击预警维护 预警创建 系统默认显示创建的预警列表 如下图所示 查看创建的预警详细信息查看创建的预警详细信息 点击创建的预警列表中的预警信息 弹出 预警详细信息 窗口 如下图 所示 新增预警新增预警 可以点击工具栏中的 新建预警 按钮 弹出 新增预警 窗口 如下图 所示 Linktrust SOC System User Guide风险管理系统风险管理系统 65 选择预警类型 预警等级 受影响的标准系统 输入预警名称 预警来源 等信息 点击 提交 成功创建预警 修改预警修改预警 选择需要修改的待发布预警信息 点击工具栏中的 修改 按钮 弹出 修改预警 窗口 如下图所示 我的草稿我的草稿 点击预警维护 预警创建 我的草稿 系统显示草稿预警列表 如下图所 示 Linktrust SOC System User Guide风险管理系统风险管理系统 66 查看草稿预警详细信息查看草稿预警详细信息 点击草稿预警列表中的预警信息 弹出 草稿预警详细信息 窗口 如下 图所示 新增草稿预警新增草稿预警 可以点击工具栏中的 新建 按钮 弹出 新建预警草稿 窗口 如下图 所示 Linktrust SOC System User Guide风险管理系统风险管理系统 67 选择预警类型 预警等级 受影响的标准系统 输入预警名称 预警来源 等信息 点击 提交 成功创建预警 修改草稿预警修改草稿预警 选择需要修改的待发布预警信息 点击工具栏中的 修改 按钮 弹出 修改草稿预警 窗口 如下图所示 修改预警类型 预警等级 受影响的标准系统 输入预警名称 预警来源 等信息 点击 提交 成功创建预警 Linktrust SOC System User Guide风险管理系统风险管理系统 68 删除草稿预警删除草稿预警 点击工具栏中的 删除 按钮 系统提示 确定删除选中的草稿预警 点击 确定 成功删除所选草稿预警 预警发布预警发布 待发布预警待发布预警 点击预警维护 预警发布 系统默认显示待发布预警列表 如下图所示 发布为正式预警发布为正式预警 选择需要发布为正式预警的待发布预警信息 点击工具栏中的 发布为正 是预警 按钮 弹出 确定预警并发布 窗口 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 69 预警管理员可以补充预警的相关信息 并选择下发的用户 地域 保密级 别 相关漏洞 截止期日和处理时限等信息 点击 发布为预警 按钮即 可 如果同时还需要发布为 EMOS 工单 可以选择 发布为预警和 EMOS 工单 按钮即可 预备预警预备预警 预备预警 在响应管理中定义的响应规则中如果定义了事件 扫描漏洞和 配置收集任务的响应方式中选中了预警 那么系统就会自动生成预备预警 用户可查看 预警并决定是删除该预备预警 还是将其转为正式预警 选择 预备预警 显示所有预备预警信息 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 70 预备预警转为正式预警预备预警转为正式预警 选择需要转为正式预警的预备预警信息 点击该预备预警所在行的 转为 正式预警 弹出 预备预警转正式预警 窗口 如下图所示 预警管理员可以补充预警的相关信息 并选择下发的用户 地域 保密级 别 相关漏洞 截止期日和处理时限等信息 点击 发布为预警 按钮即 可 预警组管理预警组管理 预警组是一个类似于用户组的概念 预警管理员发布预警的同时 可以将 该预警加入某个预警组 为以后的查询 分类 归档提供方便 选择 预警 组管理 显示所有的预警组信息列表 如下图所示 Linktrust SOC System User Guide风险管理系统风险管理系统 71 显示预警组详细信息显示预