3.2. 常见使用指引
查看风险事件或风险名单
TH-Nebula 通常在安装时已经预置了一些常见问题的策略,这些策略在网络流量被正常的引入后便会开始分析并产生一些报警,这些报警您可以通过几个渠道了解到 TH-Nebula 目前为您发现了哪些风险问题,邮件或者是总览界面
✧如果您可以正常的收到邮件风险事件的报警,可以通过链接访问到风险事件页面。
✧如果您通过查看总览页面发现了风险事件,可以通过维度导航直接进入风险分析页面对风
险事件进行细节查看。
分析某个IP地址
当你需要调查某个 IP 地址的时候,可在 TH-Nebula 中通过以下步骤进行操作:
● 在功能目录中选择风险分析,点击 IP 分析
● 在 IP 分析页面中可以查看到所有的访问网站的 IP 地址,已经有明确的某个 IP 要进行分
析的情况下,可在右上角搜索框内输入要分析的 IP 地址,点击查询。
● 在 IP 分析统计页面中,可以查看到当下 IP 相关的信息:
✧通过地图,你可以看到这个 IP 地址所处的地理位置,同时地理位置会显示在 IP 信息
框当中。
✧在顶部点击详情中,可以查看到这个 IP 地址在最近几天内的点击次数
✧通过趋势统计,可以看到 IP 在每个小时内关联的不同用户数、设备数、访问不同动态
页面数以及关联的风险名单数量
✧风险统计栏内显示 IP 在对应小时内触发的不同场景风险名单数
✧下方信息统计栏内显示 IP 在对应小时内关联不同用户列表、不同的 USERAGENT 列表、
关联不同设备 ID 点击列表以及访问的不同页面列表
点击页面右侧的点击详情,可进入详情页面查看 IP 在对应小时内的点击详情
● 在点击详情页面中可以查看到 IP 相关的信息:
✧IP 在某个小时内的点击详情,以事件河流图方式展示,如果点击事件关联了报警,点
击事件会以红色圆点显示,便于分析师快速定位问题,在 IP 点击事件河流图内横轴为时间,纵轴以不同的用户进行分类,若-个 IP 中出现了多个用户的点击事件,则会按照关联用户分为不同的行,不存在用户的点击会被集中显示在一列。
✧点击事件下方展示具体的点击列表,选择列表中的事件后,会在下方展示点击事件的详细内容
分析某个用户
当你需要调查某个用户的时候,可在 TH-Nebula 中通过以下步骤进行操作
●在功能目录中选择风险分析,点击 USER 分析
●在 USER 分析页面中可以查看到所有访问网站的用户,已经有明确的某个用户名要进行
分析的情况下,可在右上角搜索框内输入要分析的用户名,点击查询。(注意:这里所指的用户名是 TH-Nebula 系统中在解析登录或注册信息时所指定的字段,这个字段往往存在于网络请求中的某个参数)● 在 USER 分析统计页面中,可以查看到当下 USER 相关的信息
✧通过地图,你可以看到这个用户在某个小时内访问来源地址,如果存在多个地址来源
时,会显示多个点以标注用户多个访问来源地址
✧在顶部点击详情中,可以查看到这个用户在最近几天内的访问情况
✧通过趋势统计,可以看到用户在每个小时内关联的不同 IP 数、设备数、访问不同动态
页面数以及关联的风险名单数量
✧风险统计栏内显示用户在对应小时内触发的不同场景风险名单数
✧下方信息统计栏内显示用户在对应小时内关联不同 IP 列表、不同的 USERAGENT 列表、
关联不同设备 ID 点击列表以及访问的不同页面列表
● 点击页面右侧的点击详情,可进入详情页面查看用户在对应小时内的点击详情 ● 在点击详情页面中可以查看到用户的相关信息
✧用户在某个小时内的点击详情,以事件河流图方式展示,如果用户对应的点击事件关联了报警,则会以红色圆点显示,在用户点击事件河流图内横轴为时间,纵轴以不同的 IP 进行分类,若-一个用户的访问事件中出现了多个 IP,则会按 IP 分为不同的行 ✧点击事件下方展示具体的点击列表,选择列表中的事件后,会在下方展示点击事件的详细内容
分析某个页面
不同于 IP、USER、DEVICE 维度的分析,在某些情况下我们感知到风险事件时往往并不是某个具体的 IP 地址或者用户名,TH-Nebula 为您考虑更多,提供了页面分析维度,当你需要调查某个页面关联的访问用户、IP 地址时,可在 TH-Nebula 中通过以下步骤进行操作:
● 在功能目录中选择风险分析,点击 PAGE 分析 ● 在 PAGE 分析页面中可以看到所有被访问的页面,已经有某个页面要进行分析的情况下,可在右。上角搜索框内输入要分析的网页地址,点击查询。 ● 在 PAGE 分析统计页面中,可以查看到当前 PAGE 相关的信息:
✧通过地图,可以看到这个页面在某个小时内的访问来源地址
✧在顶部点击详情中,可以查看到这个页面在最近几天的访问情况(按小时)
点击切换地图为趋势统计,可以看到页面在每个小时内关联的不同 IP 数、用户数、设
备数以及风险事件数量
✧风险统计栏内可以切换查看页面关联的 IP、USER、DEVICE 列表