云服务器内容精选

华为云首页用户手册

步骤五：安全监控与应急响应

安全云脑 SECMASTER-值班监控:告警处置举例

告警处置举例此处以“【应用】源ip xx.xx.xx.xx 对域名 demo.host.com进行了xx次攻击”告警为例进行说明。收到告警：图7 告警示例分析思路：源IP对域名进行爆破攻击，会对可能的子域名产生大量的枚举和测试。安全云脑通过分析 Web应用防火墙的告警，统计1小时内的攻击次数，过滤出次数超过阈值的攻击进行告警。查看告警：告警详情页面可以看到告警攻击IP、攻击域名，分析模型是“应用-源ip对域名进行爆破攻击”数据管道名称为“sec-waf-attack”。图8 查看总览信息图9 查看上下文信息因为是统计类模型告警，可以结合WAF日志进行安全分析。单个源IP对域名进行多次攻击，虽然已经被WAF阻断，但是由于攻击次数较多，存在绕过WAF的风险，将多次攻击的行为冒泡出来。分析/处理告警：进入安全分析页面，打开sec-waf-access日志。输入查询语句，筛选查询时间，并单击“查询/分析”。 response_code='200' and remote_ip=MATCH_QUERY('xx.xx.xx.xx') 图10 分析告警根据查询结果，分析查询该IP有没有成功的访问请求。通过分析，如果该攻击ip请求成功的都是非敏感url，不存在攻击成功或绕过WAF检测的风险，直接在告警详情页面，单击“关闭”，并根据提示关闭告警。图11 关闭告警如果是有风险url访问成功，直接在告警详情页面，单击“一键阻断”，填写风险IP，选择WAF防线，阻断老化15天，进行危险IP封堵。图12 一键阻断

安全云脑 SECMASTER 步骤五：安全监控与应急响应
安全云脑 SECMASTER-值班监控:典型告警处理指导

典型告警处理指导表3 典型告警处理指导告警类型安全防线依赖数据源云脑智能模型护网推荐处理建议侦察阶段典型告警网络防线 NIP攻击日志网络-高危端口对外暴露排查源IP对系统中的高危端口连接是否为业务需要。如果为业务需要，可修改模型脚本将该源IP过滤掉；如果非业务需要，则可修改相应安全组入方向规则，禁止高危端口暴漏公网，或者对源ip进行封堵拦截。同时为保证系统安全，尽量关闭不必要的端口。侦察阶段典型告警应用防线 WAF攻击日志应用-源ip进行url遍历应急处理可以记录所有的访问请求和响应，及时发现攻击行为，针对攻击源IP进行限制或者阻断，可以通过配置黑名单策略进行封锁。侦察阶段典型告警应用防线 WAF访问日志应用-疑似存在源码泄露风险应急处理可以记录所有的访问请求和响应，及时发现攻击行为，针对攻击源IP进行限制或者阻断，可以通过配置黑名单策略进行封锁。尝试攻击典型告警应用防线 WAF攻击日志应用-WAF关键攻击告警、应用-疑似存在Shiro漏洞、应用-疑似存在log4j2漏洞、应用-疑似存在 Java框架通用代码执行漏洞、应用-疑似存在fastjson漏洞需要联系业务责任人，排查Web服务器是否存在相关漏洞，确认是否攻击成功。如果存在漏洞，应及时修改漏洞并加固安全；如果攻击成功，可结合威胁情报对攻击IP进行拦截。尝试攻击典型告警网络防线 NIP攻击日志网络-检测黑客工具攻击、网络-登录爆破告警请确认该操作是否为正常业务人员的行为，如果不是，可以参考以下处置建议：切断网络连接：立即停止受攻击的设备或系统与网络的连接，以防止攻击者继续进行攻击或窃取数据。收集证据：记录攻击发生的时间、攻击者使用的IP地址、攻击类型和受影响的系统等信息，这些信息可能有助于后续的调查和追踪。尝试攻击典型告警网络防线 CFW访问控制日志网络-疑似存在DOS攻击请确认该操作是否为正常业务人员的行为，如果不是，可在相关网络设备上进行IP拦截或封堵。入侵成功典型告警网络防线 NIP攻击日志网络-命令注入告警如果发现源端口或目的端口为4444、8686、7778等非常用端口（可疑端口一般为4个数字），需联系责任人确认业务场景。如果不是正常业务行为，可能是黑客正在进行命令注入攻击，需要结合业务及主机日志查看是否被成功入侵，同时也可以对攻击ip采取拦截封堵等措施。入侵成功典型告警网络防线 NIP攻击日志网络-恶意软件 [蠕虫、病毒、木马] 首先应该立即断开与互联网的连接，防止恶意软件进一步传播或者窃取您的敏感信息。之后可通过系统还原，杀毒软件等方式扫描和清除恶意软件。入侵成功典型告警主机防线主机安全告警日志主机-暴力破解成功、主机-异常shell、主机-异地登录请确认该事件是否攻击成功，如果攻击成功，表明该主机已经失陷，需要进行主机隔离，防止风险扩散，之后对失陷的主机进行加固。入侵成功典型告警主机防线主机安全日志主机-进程和端口信息隐匿、主机-异常文件属性修改及时判断是否是内部人员操作，是否为误操作。如果是异常进程，或文件存在恶意行为，执行相关命令结束进程。防御绕过典型告警主机防线主机安全告警日志主机-rootkit事件立即确认该Rootkit安装是否正常业务引起。如果是非正常业务引起的，建议您立即登录系统终止该Rootkit安装行为，利用主机安全告警信息全面排查系统风险，避免系统遭受进一步破坏。权限维持典型告警主机防线主机安全告警日志主机-反弹shell、主机-恶意程序联系所属主机的责任人，登录到主机上停止恶意程序并删除恶意文件，同时进一步排查是否存在可疑进程，是否开放了可疑端口，是否有可疑连接等，并进一步检查自启动项，避免遗留，此外可以结合其他方式进行综合判断。权限维持典型告警网络防线 NIP攻击日志网络-检测异常连接行为首先需要确认是否为真实的异常行为，而非误报或误判。可以通过多个方法进行确认，例如，查看日志记录、使用网络监控工具等。一旦确认存在异常连接行为，需要立即采取措施切断该异常连接，消除恶意软件，以避免进一步安全问题的发生。横向移动典型告警主机防线主机安全日志主机-虚拟机横向连接建议通过堡垒机等审计记录查看该命令是程序执行还是人为操作，如果为人为操作，需联系对应操作人确定，风格为非正常业务人员操作，需尽快确定该行为是否为异常恶意行为，是否危害到对应虚拟机，及时采取措施，保护计算机和系统的安全。持久化控制典型告警网络防线 NIP攻击日志网络-后门首先应该立即断开与互联网的连接，防止后门进一步传播或者窃取您的敏感信息。可以使用杀毒软件进行扫描和清除后门，并查找和删除可疑文件，确保系统的安全性。持久化控制典型告警主机防线主机安全日志主机-恶意定时任务写入请确认是否为正常业务任务，如果不是，可以停用计划任务。

安全云脑 SECMASTER 步骤五：安全监控与应急响应
安全云脑 SECMASTER-值班监控:操作场景

操作场景安全云脑提供了4+1个大屏，一个是综合态势感知大屏，其他四个大屏是值班响应大屏、资产大屏、威胁态势大屏和脆弱性大屏。护网开始之前我们已经完成了自查整改，清零了所有未处理的运营数据。护网及重保期间，安全值班人员需要重点关注“值班响应大屏”的数据信息，当有告警冒泡出来的时候，及时进行告警处理，清零全部告警数据。通过告警详情页数据进行告警分析，如果需要结合其他日志数据，可通过安全分析在对应数据管道进行查询统计溯源。误报告警直接关闭，有风险告警可通过“一键阻断”能力应急阻断。

安全云脑 SECMASTER 步骤五：安全监控与应急响应