添加和管理卡
我们将从2021年6月开始推出新的仪表盘和报告
本文解释了如何使用我们的传统dashboard添加和管理卡片,在我们将所有人迁移到新的体验之后,这些dashboard将被弃用。有关我们的新仪表板和报告的更多信息,请参见仪表板和报告.
创建仪表板后,可以开始向它添加卡片。只需到仪表盘,按下添加一个卡按钮。选择从卡库中添加预配置的卡,或使用查询构建自己的卡。
从图书馆添加一张卡片
预先配置的卡片从您的可用日志分类。
当您选择类别标签时,它将显示所有可用的可视选项。
预配置的卡片
下表列出了InsightIDR提供给您的所有预配置卡:
的名字 |
类型 |
描述 |
---|---|---|
1.3.5拒绝连接请求 |
合规 |
可视化PCI控制1.3.5中指定的拒绝连接尝试 |
10.2.4长期登录失败 |
合规 |
可视化每个PCI控件的登录失败次数(10.2.4) |
10.2.5a随时间推移的认证 |
合规 |
可视化每个PCI控制10.2.5a的所有资产验证时间 |
4.1c潜在的不安全连接 |
合规 |
按照PCI control 4.1c中的规定,可视化看起来不安全的连接(通过端口80) |
7.1.2b用户认证 |
合规 |
已登录的用户列表,每个PCI控制7.1.2b在指定的时间段内 |
8.1.1共享/链接账户 |
合规 |
每个PCI控件在指定时间段内使用的共享/链接帐户列表 |
8.1.3a停用账户 |
合规 |
最近6个月每个PCI控制停用的帐户列表8.1.3a |
8.2.4a最近密码重置 |
合规 |
每个PCI控制在指定的时间内重置密码的用户列表8.2.4a |
广告管理的行为 |
Active Directory管理活动 |
显示所有“管理动作” |
随着时间的推移,账户被锁定 |
Active Directory管理活动 |
显示每天的帐户锁定次数 |
创建账户 |
Active Directory管理活动 |
已创建的用户帐户 |
帐户已禁用 |
Active Directory管理活动 |
已禁用的用户帐户 |
账户锁定 |
Active Directory管理活动 |
已被锁定的用户帐户 |
用户添加到的组 |
Active Directory管理活动 |
添加了用户的组 |
密码设置为永不过期 |
Active Directory管理活动 |
密码设置为永不过期的用户帐户 |
添加到组中的用户 |
Active Directory管理活动 |
已添加到组的帐户 |
添加到组的用户 |
Active Directory管理活动 |
将用户添加到组的帐户 |
资产访问Excel和Word文件 |
文件访问活动 |
查看您的组织中哪些资产被用于访问最多的文本文件和/或电子表格。 |
根据资产对不常见域的DNS查询 |
DNS查询 |
快速查看哪些资产正在请求不常见的公共后缀域。这可以帮助您确定某个特定资产是否向陌生域发出了不想要的请求(可能是恶意软件的指示器)。 |
通过公共后缀对不常见域的DNS查询 |
DNS查询 |
将请求卷可视化到使用不常见后缀的域。 |
根据用户对不常见域的DNS查询 |
DNS查询 |
快速看到哪些用户正在请求不常见的公共后缀域。这可以帮助您确定用户是否向陌生的域发出不必要的请求。 |
对不常见域的DNS查询 |
DNS查询 |
可视化不常见域的流量随时间的变化。这可以帮助您了解组织互联网活动中的模式、趋势或异常情况。 |
DNS总流量随时间的变化 |
DNS查询 |
可视化组织的DNS总流量随时间的变化。这可能会帮助你看到模式,趋势或异常。 |
按港口拒绝通行 |
防火墙活动 |
快速可视化哪些目标端口有最多的防火墙拒绝。 |
长期拒绝流量 |
防火墙活动 |
可视化随时间推移的防火墙拒绝量。这可以帮助您查看被拒绝网络流量的模式、趋势或异常情况。 |
非美国国家的入站和出站流量由用户 |
防火墙活动 |
跟踪国际流量的用户随时间的变化。这可以帮助您了解用户活动的模式、趋势或异常情况。 |
按国家/地区划分的到非美国国家/地区的入境和出境流量 |
防火墙活动 |
跟踪各国随时间变化的国际交通量。这可能有助于您了解整个国际网络流量的模式、趋势或异常情况。 |
按港口从非美国国家入境的流量 |
防火墙活动 |
按目的港跟踪一段时间内的国际交通量。这可以帮助您查看特定于应用程序的流量中的模式、趋势或异常。 |
进出非美国国家的交通 |
防火墙活动 |
可视化所有国际网络流量按国家。 |
流量或从一个非美国国家订购由用户 |
防火墙活动 |
快速查看哪些用户产生了最多的国际网络流量。 |
禁用用户身份验证 |
资产的身份验证 |
快速查看对禁用用户的身份验证尝试。这可能有助于您确定组织中是否存在错误配置,或者向您显示针对特定禁用用户的暴力尝试的指示器。 |
失败的认证-用户 |
资产的身份验证 |
按用户显示所有失败的身份验证活动 |
按类型进行的身份验证失败 |
资产的身份验证 |
按类型显示所有失败的身份验证活动 |
目标资产的登录失败 |
资产的身份验证 |
快速查看哪些资产的验证失败次数最多。这可能是配置错误,也可能是针对特定资产的暴力破解攻击的指示器。 |
用户登录失败 |
资产的身份验证 |
快速查看哪些用户的身份验证失败次数最多。 |
随着时间的推移,登录失败 |
资产的身份验证 |
跟踪失败的身份验证。这可以帮助您了解组织中总体失败的身份验证的模式、趋势或异常情况。 |
来自陌生源资产的首次认证 |
资产的身份验证 |
显示从不熟悉的源资产登录到资产的用户 |
用户首次认证 |
资产的身份验证 |
显示第一次验证的数量,按用户排序 |
系统交互认证 |
资产的身份验证 |
显示哪些系统用户以交互方式或远程方式登录(远程在这里指通过远程桌面) |
本地管理员网络登录活动 |
资产的身份验证 |
根据资产可视化本地管理员身份验证。 |
按类型列出的登录计数 |
资产的身份验证 |
快速查看按资产类型成功验证的数量。 |
登录类型 |
资产的身份验证 |
显示所有不同类型的身份验证 |
通过名称和扩展名访问文件 |
文件访问活动 |
通过文件名和扩展名快速查看您的网络中访问最多的文件。 |
随时间变化的文件访问 |
文件访问活动 |
可视化组织的总文件访问活动随时间的变化。这可能会帮助你看到模式,趋势或异常。 |
按源资产访问文件共享 |
文件访问活动 |
快速查看哪些资产连接到您组织的文件共享最频繁。 |
用户对文件共享的访问 |
文件访问活动 |
快速查看哪些用户最常访问组织的文件共享。 |
用户访问Excel和Word文件 |
文件访问活动 |
查看组织中的哪些用户访问的文本文件和/或电子表格最多。 |
高级别IDS告警 |
IDS警报 |
已触发的高级别IDS警报的数量 |
中等级别IDS告警 |
IDS警报 |
已触发的中等级别IDS警报的数量 |
低级别IDS告警 |
IDS警报 |
已触发的低级别IDS警报的数量 |
IDS按规则报警 |
IDS警报 |
按规则细分您的IDS警报 |
按国家/地区列出的IDS警报 |
IDS警报 |
快速查看在您的环境中哪些国家与IDS警报关联 |
IDS警报(按用户) |
IDS警报 |
可视化哪些用户拥有属于他们的IDS警报 |
IDS Alerts for Unknown User by Source IP |
IDS警报 |
可视化未指定已知用户的IDS警报 |
按资产分类的IDS警报 |
IDS警报 |
按资产细分您的IDS警报 |
IDS根据IP对未知资产发出警报 |
IDS警报 |
可视化没有指定资产的IDS警报 |
ISP接入认证 |
进入认证 |
服务提供者活动的来源细分进入活动 |
按位置输入身份验证 |
进入认证 |
看看你的用户从哪里连接到你的网络 |
按服务输入身份验证 |
进入认证 |
可视化进入您的网络的云服务的起源 |
来自中国的入口认证 |
进入认证 |
快速查看哪些用户正在从中国进入你的网络 |
来自俄罗斯的入境认证 |
进入认证 |
快速看到哪些用户正在进入你的网络从俄罗斯 |
进入身份验证从美国以外的用户 |
进入认证 |
快速查看哪些用户从美国以外进入你的网络 |
过去24小时内的入口验证 |
进入认证 |
观察24小时内入侵活动的趋势 |
在过去24小时内从美国境外获得的入口认证 |
进入认证 |
观察超过24小时的国际入境活动 |
过去24小时的病毒警报 |
病毒警报 |
可视化AV的发展趋势 |
按资产分类的病毒警报 |
病毒警报 |
查看您的网络中哪些资产可能受到感染 |
按文件分类的病毒警报 |
病毒警报 |
通过被警报的文件分解网络中的病毒警报 |
按用户分类的病毒警报 |
病毒警报 |
快速看到哪些用户有最多的AV活动与他们相关 |
打造自己的名片
如果您决定构建自己的可视卡片,那么您需要提供一个查询并选择您想要应用查询的日志。学习如何建立一个查询或使用示例查询当你建立自己的卡。
选择一个选项后,您将看到查询结果的实时预览。与您的查询不兼容的可视化将被灰化。
管理卡片
每个可视卡都有一个齿轮式的选项。从这里,您可以:
- 视图中适用的日志。
- 编辑名片。
- 复印卡片。
- 从仪表板上取下卡片。
- 导出卡到PDF。
- 将日志数据导出到CSV文件。
导出的日志数据和导出的pdf文件请参见“报告归档”.