SecCenter 快速配置及使用指导
错误!未找到引用源。
图1-44 设备Forensic分析输出中包含的统计报告
针对主机的深度分析(Forensic Analysis)输出:
1-36
SecCenter 快速配置及使用指导
错误!未找到引用源。
图1-45 针对主机的Forensic分析输出
针对主机的深度分析(Forensic Analysis)包含的统计报告:
图1-46 主机Forensic分析输出中包含的统计报告
1-37
SecCenter 快速配置及使用指导
错误!未找到引用源。
1.3.7 设备、主机管理(Groups,Devices,Hosts)
1. 组管理(Groups)
SCA1000可以从设备(Devices)和主机(Hosts)获取数据进行分析,在实际使用时会同时从多个主机和设备接收数据。为了方便管理这些设备和数据分析,SCA1000提供将主机和设备分组管理的能力,用户可根据实际使用的需求将设备和主机分组管理。
在主界面中选择“Groups” Table页面可将操作界面切换到组管理(Groups)功能画面,可以对SCA1000的组进行增加、删除、修改操作。
图1-47 组管理(Groups)功能画面
2. 设备管理(Devices)
通常SCA1000对于支持的设备是自动发现的,只要该设备可以正确向SCA1000发送syslog日志,SCA1000就可以自动识别出设备类型并添加到设备管理(Devices)列表中。SCA1000也支持手动增加设备,主要是针对当时不再线的设备考虑的,手动增加设备时需要选择设备类型。
1-38
SecCenter 快速配置及使用指导
错误!未找到引用源。
在主界面中选择“Devices” Table页面可将操作界面切换到设备管理(Devices)功能画面,通过该功能画面,可以完成对设备的增加、删除、修改、和数据采集策略配置。
图1-48 设备管理(Devices)功能画面
设备采集策略(Policies)的定义:
采集策略(Policies)是实际上一种过滤器,通过策略定义可以控制每个设备采集到的数据是否显示和保存(按事件级别),可有效滤除不重要的事件信息。
1-39
