一、数据看板

数据看板

1.1 筛选查看条件

筛选条件 打开网址 http://shield.baixing.cn 后会默认跳转到看板页面。 首先选择想要查看情况的业务线、日期跨度、想要查询的IP等查询条件,可以筛选展示的信息维度。

1.2 总数统计

总数统计 根据选择的日期跨度,将显示所选范围的: 恶意请求数、攻击源数、处理日志量、易受攻击时段。

1.3 威胁走势图表

威胁走势 展示了时间范围内发生威胁事件的次数走势。

1.4 主要攻击源

主要攻击源 展示了攻击源IP的详细情况。

1.5 威胁等级分布

威胁等级分布 展示了不同等级威胁数的占比。

1.6 威胁等级走势

威胁等级走势 展示了范围日期内威胁等级的走势情况。

1.7 主要状态码走势

主要状态码走势 展示了状态码的走势。

1.8 原因走势

原因走势 展示了原因走势。

1.9 地域分布

地域分布 展示了威胁的地域分布。

二、威胁回溯

威胁回溯 可以查看攻击源的详细分析。

2.1 筛选列表

筛选列表 通过和看板中相似的筛选功能,筛选出想要查看的攻击源列表,和威胁等级的分布走势情况。

2.2 威胁事件剖析

威胁事件剖析 点击列表中其中一个攻击源后,展示该事件的详细分析,包括: 攻击情况、应用层攻击行为画像、主要攻击的URL和URL模型。

2.3 攻击源分析

攻击源分析 对于攻击源(IP)情况的分析,包括: 基础信息、主要攻击时段、地理位置信息。

2.4 原始日志

原始日志 攻击源的原始日志查看。

三、应用设置

应用设置 点击左侧应用设置,进入设置界面。主要包括了:基础配置、实时引擎、通用规则。

3.1 基础配置

选择和编辑业务以及域名:

在页面左侧可以点击业务区域的齿轮,进行修改。

选择一个域名后也可以对其进行修改和删除操作:

针对域名配置黑白名单:

在左侧选择要配置的业务和域名,会展示三个黑白名,分别为User Agent 白名单、User Agent 黑名单、IP 白名单。进行相关配置。

3.2 实时引擎

实时引擎 选择实时引擎后,为所选业务下的域名配置规则。规则分为标准算法模型以及自定义规则。 标准算法模型 标准算法模型可以将需要的模型从规则池中拖入当前域名下的配置中。 自定义规则 自定义规则可以配置该域名下独有的规则。

3.3 通用规则

标准算法模型的规则池可以在通用规则页面进行修改,会作用到已经配置的域名下。
通用规则

支持新建以及编辑:
新建:

编辑:

四、IP命中记录

IP命中记录 IP命中记录页面,可以查看IP命中的历史以及更新IP命中分数。类型为auto的是引擎自动触发,类型为manual的是通过手动提交如下表单后创建。

五、数据大盘

地球效果实现

数据大盘

数据大盘页面可以全屏监控实时的威胁请求。

5.1 实时原因走势

展示了过去5分钟实时的威胁原因走势。

5.2 实时当日数据汇总

展示了当日聚合的总数包括:
今日威胁事件数、今日攻击源数、今日处理日志数、今日恶意请求数。

5.3 实时处理日志量

展示了5分钟内,每分钟实时处理的日志量。

5.3 实时威胁情况

展示了5分钟内,实时威胁情况。

5.4 实时威胁事件

展示了5分钟内,实时威胁事件列表。

5.4 实时请求演示

以3d动画方式展示了实时请求来源的行为。