TDS功能尝鲜

　　1、 全新的威胁显示方式和自动威胁处理流程

　　TDS的事件展示界面如图10所示，在这个界面中最大的亮点就是一改以前IDS的事件展示界面中大而全的方式，仅仅展示出最让安全管理员关注的重点事件，显得界面干净整齐，而又重点突出，而这一起都是系统智能完成的，通过安全管理员和系统的不断交互，它能显得更智能。

　　图10

　　在威胁事件展示中，新的概念有两个，其一是“处理”，其二是“合并”。在每个威胁事件最前面的“处理”按钮点击，就出现事件处理的“事件说明”对话框，如图11所示。

　　图11

　　看完威胁事件的说明后，点击下一步，进入到事件确认对话框，如图12所示，在这里，需要对该事件进行选择“尚未分析”，“误报”以及“威胁存在”。如果认定该事件属于误报，选择后下次该事件将不在界面中显示，而直接标注为误报。

　　图12

　　再点击下一步，进入到事件处理对话框，如图13所示，在这里将对如何处理这个威胁事件进行说明和指导。

　　图13

　　最后，将出现合并事件对话框，如图14所示。提示对后继同类事件的自动处理办法。这样相当于把这次处理威胁事件的过程做了记录，做为专家系统对后续相同事件进行处理示范和指导。可以选择对“相同事件”或者“相同事件+相同IP”进行自动处理。而自动处理的动作可以是“改变级别”、“不再实时显示”以及“调整为基线事件”。这样的自动化流程大大简化了安全管理员的操作，并且为安全管理员的每次操作都做好记录，后续处理系统就自动“依葫芦画瓢”即可。

　　图14

　　通过威胁事件处理的流程，我们感觉到TDS关注的是用户对于整个安全事件的处理过程，传统的IDS产品发现是一个攻击报警马上出来，后续需要管理员大量工作，TDS可以帮安全管理员来解决后续的一些问题，并且给它提供辅助的处理手段帮助。