TCSE_TDA__设备报表的解读.pptVIP

建议是以事件种类为排序的方式列出客户端列表，同时也会提供相对这些威胁事件的建议解决方案. 恶意的目的地址是TDA通过网络信誉服务所检测到的恶意网址,客户端去访问这些恶意网址可能会导致感染信息窃取软件或者其他恶意程序.建议用户检查安全策略设置以阻止这些恶意连接. 已知病毒是TDA使用vsapi扫毒引擎检测到的已知病毒,由于基本上这些病毒也应会被客户端的防毒软件所拦截,所以并没有在报表中交待详情 信息性事件包括TDA检测到的网络服务,例如DNS或者SMTP.由于一些病毒在感染客户端后会启动SMTP以及DNS服务,所以未在TDA注册的网络服务会显示在这段落,用来提醒您这些是否为内部网络合法的服务.如是的话则必须加入TDA的清单里. 中断性应用程序统计网络内P2P、即时通讯程序等程序的使用情况 下面是解读TDA报告时的一些说明事项 TDA的原始日志数量与报表中的事件数量不符合 这是因为报表中的事件是由TMSP对TDA原始日志进行分析过滤后得出的结果，所以数量会不符合。 已知病毒不列在报表的事件列表中 TDA主要检测网络中的未知病毒和感染病毒的网络特征，由于已知病毒可以被客户端防毒软件所检测，所以不会列在事件列表中。 最后我们来熟悉一些报表中的术语 1.原始日志： TDA上传到TMSP的日志，这些日志未经过分析与过滤，不易被解读。 2.威胁事件 TMSP根据TDA上传的日志经过交叉分析过滤所得出的安全事件，这些安全事件比原始日志更能准确反映当前网络安全状况 3.僵尸网络 僵尸网络是在网络蠕虫、特洛伊木马、后门工具等传统恶意代码形态的基础上发展、融合而产生的一种新型攻击方式，是由被攻陷主机所组成的可被数字罪犯远程控制的网络 4.僵尸程序（bot） 是一种软件，该软件允许远程用户控制计算机，而这一切却不会让本地用户察觉。常见例如，IRC bot 5. 僵尸机器 又称肉鸡，指运行了僵尸程序的计算机 6. 中断性应用程序 TDA设备发现的中断性应用程序包括即时通信，流媒体和P2P程序。这些程序被认为是中断性应用是因为它们会占用网络资源,并通常会降低员工的工作效率。 7. 信息性事件 信息性事件是TDA设备发现的低可信度的事件。这些事件本身可能不会引起警报，但一旦和其他事件关联，它有可能被证实是某些更严重的潜在威胁的一个组成部分。 Copyright 2010 Trend Micro Inc. Trend Micro TCSE Training Course Copyright 2009 Trend Micro Inc. Trend Micro TCSE Training Course Copyright 2010 Trend Micro Inc. 威胁发现设备TDA——设备报表的解读课程编号：TCSE_TDA_03（2010） 课程目标 通过本课程学习你可以掌握： TDA设备的安装和部署 TDA的注册、管理和配置 TDA报表内容的解读 本模块将介绍——TDA设备报表的解读 完成学习后，你可以登录趋势科技在线考试系统，完成课后 测验，以检验学习成果 趋势科技在线考试系统： 考试帐号请咨询趋势科技培训服务部：021657 内容大纲 TDA每日报表的基础分析 TDA报表中的说明事项 TDA报表中的术语说明 TDA每日报表的基础分析 每日安全日志分析 威胁事件侦测摘要 威胁事件趋势分析 威胁事件摘要 威胁事件明细 建议 恶意的目的地址 已知病毒 信息性事件 中断性应用程序 TDA报表中的说明事项 注意事项 原始日志数量与事件数量不符合 已知病毒不列在事件列表中 报表中的术语说明 报表中的术语说明 原始日志 威胁事件 僵尸网络 僵尸程序（bot） 僵尸机器 中断性应用程序 信息性事件 总结 通过本节课程学习，你应该掌握了TDA设备报表的解读方法。 课后习题可以帮助你更好的巩固本节内容。请立即登录趋势科技在线考试系统：，完成课后习题。 更多资源 中文版产品下载专区 /download/zh-cn/ 中文搜索咨询百科 /corporate/techsupport/solutionbank/ 渠道助跑计划站点 /channel/ 技术支持电话 800 820 8839 技术支持邮箱 service@ 欢迎学习（） 本课程将从以下两个方面来介绍： （） TDA用户会收到发送自趋势科技威胁监控中心的每日报表，该报表以附件形式通过邮件发送，下面我们来了解一下TDA每日报表包含了哪些内容，如何透过报表了解并改善企业网络中的恶意威胁。 每日安全日志分析是TDA的原始日志，在TDA的Web控制台上也可以看到此信息。 威胁事件侦测摘要列出了不同风险等级的安全事件.这些事件由TMSP威胁管理