打开 Offenses
顶部导航栏点击 Offenses,查看所有安全告警。
Offense 列表字段详解
| 字段 | 说明 | 排序建议 |
|---|---|---|
| Name | 攻击名称(通常由规则决定) | — |
| Magnitude | 严重程度(1-10) | ⬇️ 降序,优先处理高 severity |
| Status | 状态 | 筛选 Open |
| Start Time | 攻击开始时间 | ⬇️ 降序,看最新 |
| Last Event/Flow | 最后活动时间 | 判断攻击是否持续 |
| Source IP | 攻击源 | 右键 Investigate |
| Destination IP | 攻击目标 | 确认关键资产 |
| Event Count | 关联事件数量 | 数量突增 = 攻击升级 |
| Category | 攻击类别 | 按类型筛选 |
| Assigned | 分配给哪位分析师 | 避免重复处理 |
状态说明
| 状态 | 含义 | 使用场景 |
|---|---|---|
| Open | 待处理 | 新 Offense,需调查 |
| Closed | 已关闭 | 调查完成,需记录原因 |
| Hidden | 隐藏 | 低风险或确认误报 |
| Protected | 保护中 | 防止系统因过期自动关闭 |
调查 Offense
双击一个 Offense 进入详情页:
Summary(摘要)
查看:
- 基本信息 — 攻击名称、时间、涉及 IP
- Magnitude 构成 — Credibility / Relevance / Severity 各多少
- Description — 规则生成的描述
Rules
查看触发此 Offense 的所有规则:
- 主规则(直接触发的 CRE Rule)
- 引用的 Building Block
用途:了解为什么会产生这个 Offense
Events/Flows 时间线
分析要点:
- 按时间顺序看攻击演进
- 注意 Event Count 突增点(攻击升级)
- 查看第一个 Event(攻击入口)
- 查看最后一个 Event(攻击是否持续)
基本操作
分配 Offense
关闭 Offense
关闭原因选择指南:
| 原因 | 适用场景 |
|---|---|
| False Positive | 规则误报,正常业务被识别为攻击 |
| Non-Issue | 低风险事件,无需处理 |
| Resolved | 安全问题已修复(如 IP 已封锁) |
| Policy Violation | 违反策略但不涉及外部攻击(如内部违规) |
添加 Note
记录模板:
━━━━━━━━━━━━━━━━━━━━━━
[调查时间] 2024-06-18 10:30
[调查人] 张三
[发现] 发现 IP 192.168.1.100 存在异常登录行为
该 IP 为外部地址,尝试登录 admin 账号 15 次
[证据] Event ID: 12345678
Source IP: 192.168.1.100 (归属地: 境外)
[处置] 已通知防火墙团队封锁该 IP
[状态] 等待封锁确认后关闭
━━━━━━━━━━━━━━━━━━━━━━
保护 Offense
防止系统因过期自动关闭:
Actions > Protect
场景:
- 需要长期跟踪的攻击
- 等待外部反馈的调查
- 合规审计要求的记录
调查工作流建议
实战场景:处理暴力破解 Offense
实战场景:处理内部异常 Offense
Offense: "Abnormal User Behavior - Data Access"
调查步骤:
1. 查看 Events → 发现用户 zhangsan 凌晨 3 点下载了 1000+ 条客户记录
2. 查看 Asset → 目标为 CRM 数据库(Critical 资产)
3. 查看历史 → 该用户平时工作时间访问,从未在凌晨操作
4. Investigate User → 发现该用户账号在其他城市同时登录
5. 判断:账号被盗或内部威胁
6. 处置:禁用账号、通知 HR、启动内部调查
7. Note:详细记录时间线和证据
批量操作
选中多个 Offense(Ctrl+点击 或 Shift+范围选择)
批量操作:
- Actions > Assign To(批量分配)
- Actions > Close(批量关闭,需选择同一原因)
- Actions > Protect(批量保护)
配套资源
- 📄
00-official-docs/7.5/IBM_QRadar_7.5_User_Guide.pdf第 5 章 - 📄
02-intermediate/03-offense-investigation.md(中级深度调查)
恭喜完成初级教程!接下来进入 中级教程,学习日志源配置和规则编写。