开始使用BI
在主界面可以看到三个标签:Events(事件)、Intruders(入侵者)和History(历史记录)。bbs.duba.net+ G9 {6 ~/ i, m9 y% n7 A' Q4 z
在Events窗口中可以看到事件发生的时间、名称、入侵者、发生次数等,左下角是事件的说明.
有Severity(icon)严重程度(图标显示)、Time时间、Event事件、Intruder入侵者、count数量、TCP Flags标记、Protocol ID协议ID、Destination Port目的端口、Source Port源端口、Parameters参数、Target对象、Target IP对象地址、Intruder IP入侵者地址、Event ID事件ID、Response Level响应等级、Severity(Numeric)严重程度(等级数)。可以根据自己的喜好选择显示哪些项目,也可以改变显示顺序。
BI提示的事件数量非常之多,按严重程度分红橙黄绿4大类10个等级,每类事件都有各自的数字编号。图10是事件的严重等级。
红色事件,等级7-10,属严重事件,有故意入侵,破坏、窃取数据,毁坏系统的可能。
橙色事件,等级4-6,属重要事件,虽然没有直接破坏行为但有获取系统数据的可能。
黄色事件,等级1-3,属可疑事件,虽然当时没有威胁,但可能暗示着有人正在搜寻你的系统漏洞,比如端口扫描。
绿色事件,等级0,没有威胁,只需要注意的网络事件。(我不记得见过绿色事件)
有些事件会触发BI的保护措施,以下是事件结果的图示,如图11所示:! v! M# h8 L, E1 X4 K+ F7 s
1、 黑色斜杠表示事件被成功地阻止。
2、 灰色斜杠表示事件被操作系统等其他防御手段阻止,比如我的同事访问我的共享文件夹时输错了用户名和密码,BI将此事件列为可疑的黄色事件,由于系统没有允许他访问,所以事件上打了一个灰色的斜杠。
3、 灰色的圆圈表示事件结果未知,部分数据包有可能进入了你的系统,但是没有迹象显示系统受到损害。
4、 橙色的圆圈表示很有可能遭受了损害,攻击数据包已经进入了系统,可能已经造成了破坏。
5、 红色的圆圈则表示BI检测到异常的数据包进出系统,但是无法阻止,系统已经被入侵了。
如果你选择了Response Level,还会显示左边这列图标。
有的时候可能突发事件非常多,Events窗口刷新得非常快,使你来不及针对某类事件做出处理。这个时候可以点击“View”菜单中的“Freeze”,暂时冻结窗口,处理完毕还可以取消冻结。如图14所示。
如果嫌BI警报数量太多,可以对警报进行过滤,比如选择Serious,则显示Serious以上级的警报。在这里不推荐使用过滤,有比它更有效的方法。