威胁专项

行为概览
NTA使用行为分析技术检测出网络中的不同的主机异常行为，帮助您发现潜在风险和高级威胁。行为概览展示了当前网络主机异常行为的整体趋势情况，包括DNS行为分析、挖矿行为分析、代理穿透分析、远程工具分析、登录行为分析、扫描行为分析、隐蔽隧道分析、文件威胁分析、邮件数据分析。
限制说明：文件威胁分析、邮件数据分析仅支持企业版以上版本规格。
DNS行为分析
在DNS分析页面您可以看到网络中的DNS隧道以及DGA域名等安全风险，您可以看到访问的DGA域名以及相关失陷资产信息。

挖矿行为分析
挖矿行为分析页面提供了全网挖矿主机的场景化分析页面，在该页面您可以查看网络中是否存在挖矿行为，并提供矿池IP TOP5、矿池域名TOP5和挖矿资产告警列表进一步分析。

代理穿透分析
在代理穿透分析页面，您可以看到代理IP TOP5、穿透IP TOP5等信息，帮助您发现内网中的潜在风险主机。

远程工具分析
远程工具分析帮助您排查网络中是否存在利用远程工具进行外联通信的情况，包括利用向日葵、Teamviewer等远程工具。

登录行为分析
在登录分析页面，您可以查看网络中所有存在弱密码的风险主机。在外部入侵的攻击手法里，弱口令往往是最容易被攻击者利用的资产脆弱性，您可以通过登录分析页面，获取资产弱口令信息并进行整改加固。

扫描行为分析
在扫描行为分析页面，您可以看到被扫描的资产IP TOP5，外部扫描IP TOP5等信息。页面并提供了每一个资产被扫描的端口数量、扫描次数、风险端口扫描次数、扫描种类等信息，帮助你对风险端口进行加固，收缩暴露面。

隐蔽隧道分析
隐蔽隧道分析页面提供了全网资产存在隐蔽隧道的整体风险状况，包括资产IP、外部控制端IP、方向、隧道类型、上行流量和下行流量等信息，帮助您进一步排查主机的隐蔽隧道通信、数据窃取等安全风险。

文件威胁分析
文件威胁分析能够有效识别exe, dll, zip, rar, elf, gzip等多种类型的恶意文件。文件威胁分析页面展示了当前网络中文件类型的分布以及下载次数最多的TOP5文件。并提供了详细的恶意文件列表，包括资产IP、外部IP、方向、文件名称、文件MD5值、病毒类型、最近告警时间。恶意文件支持下载，下载的文件为病毒文件，如需要打开文件，为保证您的网络安全，请在沙箱等隔离环境中打开运行。

邮件数据分析
支持SMTP等邮件协议审计还原，并能够识别出病毒邮件、钓鱼邮件、邮件泄密等安全风险。您可以看到邮件收发次数最多的收件人和发件人。邮件审计内容包括：发件人邮箱、收件人邮箱、邮件标题、附件名称、附件MD5值、邮件类型、最近告警时间等内容。