事件图
事件图显示所选事件的交互式节点图可视化效果,包括检测、计算机、可执行文件和事件时间线。右键单击任何节点以打开包含该节点作的上下文菜单。可以移动和重新定位节点。使用图形菜单执行其他操作:
•适应 - 将图形居中以显示所有节点。
•重置 - 将所有节点返回到其初始位置。
•重绘 - 刷新图形信息。
屏幕的右侧显示所选图形元素的其他信息:
•事件 - 有关事件的全面详细信息。
•时间线 - 显示事件更改的时间戳详细信息,并突出显示所选时间线事件的图形节点。检查应显示哪些项:
o威胁指标 - 如果选中,则会在时间线中显示威胁指标。
o行为 - 如果选中,则会在时间线中显示威胁行为。
o分析人员操作 - 如果选中,则会列出时间线中的分析人员操作。
•详细信息 - 有关图形中所选元素的全面信息。
•进程树 - 在进程树的图形中显示所选元素的位置。
•相关对象 - 与图形中所选元素相关的对象列表。
请参阅事件图示例。
图形元素
节点
|
进程 |
|
该节点包含进程名称和 PID。 |
|
可执行文件/模块 |
|
命令行 |
|
文件 |
|
链接/URL |
|
IP |
|
计算机 |
|
用户 |
|
用户和计算机 |
源节点是发出可疑活动信号的初始实体,周围可能有多个圆圈。一个图形中可以有多个源节点。
节点的颜色表示与其关联的最高严重性检测:
|
信息 |
|
警告 |
|
威胁 |
线条
节点之间的线条表示将它们链接起来的检测。线条越粗表示检测次数越多。线条上的数字表示检测计数(没有数字表示 1 次检测)。
