安全云脑 SECMASTER-值班监控:告警处置举例
时间:2024-07-17 15:45:08
下载安全云脑 SECMASTER用户手册完整版
复制链接到剪贴板
分享文章到微博
分享文章到朋友圈
告警处置举例
此处以“【应用】源ip xx.xx.xx.xx 对 域名 demo.host.com进行了xx次攻击”告警为例进行说明。
- 收到告警:
图7 告警示例
- 分析思路:
源IP对域名进行爆破攻击,会对可能的子域名产生大量的枚举和测试。
- 查看告警:
告警详情页面可以看到告警攻击IP、攻击域名,分析模型是“应用-源ip对域名进行爆破攻击”数据管道名称为“sec-waf-attack”。
图8 查看总览信息
图9 查看上下文信息
因为是统计类模型告警,可以结合WAF日志进行安全分析。单个源IP对域名进行多次攻击,虽然已经被WAF阻断,但是由于攻击次数较多,存在绕过WAF的风险,将多次攻击的行为冒泡出来。
- 分析/处理告警:
- 进入安全分析页面,打开sec-waf-access日志。
- 输入查询语句,筛选查询时间,并单击“查询/分析”。
response_code='200' and remote_ip=MATCH_QUERY('xx.xx.xx.xx')图10 分析告警
- 根据查询结果,分析查询该IP有没有成功的访问请求。
- 通过分析,如果该攻击ip请求成功的都是非敏感url,不存在攻击成功或绕过WAF检测的风险,直接在告警详情页面,单击“关闭”,并根据提示关闭告警。
图11 关闭告警
- 如果是有风险url访问成功,直接在告警详情页面,单击“一键阻断”,填写风险IP,选择WAF防线,阻断老化15天,进行危险IP封堵。
图12 一键阻断
- 通过分析,如果该攻击ip请求成功的都是非敏感url,不存在攻击成功或绕过WAF检测的风险,直接在告警详情页面,单击“关闭”,并根据提示关闭告警。
support.huaweicloud.com/bestpractice-secmaster/secmaster_06_0023.html
看了此文的人还看了
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
推荐文章
