【安全设备篇】HVV面试专题
1.天眼
天眼日志检索/威胁告警常用的语法
日志检索:
1- dip -- 被攻击的ip
2- dport -- 被攻击的端口
3- sip -- 源ip
4- sport -- 源端口
5- uri -- 请求的url地址
6- data -- 请求包的正文内容
7- status -- 响应包的状态码
8- host -- 域名
威胁告警:
1- attack_sip -- 攻击者ip
2- alarm_sip -- 受害者ip
3- attack_type -- 攻击类型
4- is_web_attack -- 用于标记告警是否是web告警(1:是 0:否)
5- hazard_level -- 威胁级别(取值:0~10)
三要素:
字段 运算符 值
天眼界面服务的内容
天眼构成: