ATD部署完成之后的主要使用流程如下所示:
1、对接日志 -> 2、新建业务 -> 3、添加域名 -> 4、算法引擎设置 -> 5、查看相关数据 -> 6、其他设置
下面简单介绍下每个环节的操作步骤:
对接日志共分为三个步骤:(1)添加日志格式;(2)配置Topic;(3)推日志;
(1)添加日志格式
从导航栏,依次进入【日志管理】-【日志配置】,点击【添加】按钮,按照界面提示逐步完成日志格式的添加。
这一步的主要目的:添加即将接入日志的log_format或进行日志字段映射设置,以便ATD可以成功解析您的日志,进而进行威胁分析。
详细操作步骤见《日志配置文档》
(2)配置Topic
在添加日志格式操作完成之后,ATD会自动为您创建一个ATD kafka 的Topic。当然,您也可以点击【日志对接设置】按钮(如下图),修改相应日志格式的对接配置,如果选择使用私有的kafka,需要进行TopicName、Zookeeper地址的配置。
这一步的主要目的:配置与日志格式相应的TopicName、Zookeeper地址,以便ATD知道从哪里可以提取到您推送的日志数据。
(3)推日志
在完成添加日志格式和配置Topic之后,您需要将日志推送到相应kafka下的相应TopicName中。
对于推日志操作,ATD提供了两种方式,一种是:一键推送;另一种是:手动推送。具体的操作方式可以点击【对接操作文档】按钮(如下图),查看相应的《ATD安装说明-对接操作文档》,进行推日志操作。
【注意】请勿将不同格式的域名日志推到同一个TopicName下,否则ATD将无法完成日志解析且不能进行威胁分析。
示例对接操作文档见《【示例】ATD安装说明-对接操作文档》,注意:该文档只是示例文档,实际推日志操作请根据日志格式后对应的文档进行操作。
成功完成对接日志的三步操作之后,接下来需要新建一个业务,用于将相同业务行为的域名进行分组。
在导航栏,依次点击【业务管理】-【域名管理】,再点击【新建业务】按钮,填写业务名称和被防护主机,即可完成业务的创建。如下图所示:
创建完业务之后,在当前页面点击【添加域名】按钮,填写域名及选择被添加域名所属的业务,即可完成添加域名操作。该操作支持批量添加域名功能,仅需每个域名换行隔开即可。如下图所示:
添加域名完成之后,可点击域名列表后的【算法引擎设置】按钮,或是点击导航栏【业务管理】下的【算法引擎设置】找相应域名后点击进入设置页面。可进行基础配置、 实时引擎、 深度引擎、 学习引擎的相应配置。
详细的配置说明可咨询白山工程师,这里不再赘述。
在完成上述一系列配置操作之后,就可以查看相关数据了,包括【全局总览】、【数据大屏】、【业务分析】、【威胁事件回溯】、【威胁事件剖析】、【攻击源分析】、【周报/日报】、【日志监控状态】、【服务组件状态】等。
在基础操作之外,还可以进行一些其他的设置操作,如【报表接收设置】、【告警设置】、【添加普通管理员】等。
