安全云脑 SECMASTER-值班监控:告警处置举例
告警处置举例
此处以“【应用】源ip xx.xx.xx.xx 对 域名 demo.host.com进行了xx次攻击”告警为例进行说明。
- 收到告警:
图7 告警示例
- 分析思路:
源IP对域名进行爆破攻击,会对可能的子域名产生大量的枚举和测试。
- 查看告警:
告警详情页面可以看到告警攻击IP、攻击域名,分析模型是“应用-源ip对域名进行爆破攻击”数据管道名称为“sec-waf-attack”。
图8 查看总览信息
图9 查看上下文信息
因为是统计类模型告警,可以结合WAF日志进行安全分析。单个源IP对域名进行多次攻击,虽然已经被WAF阻断,但是由于攻击次数较多,存在绕过WAF的风险,将多次攻击的行为冒泡出来。
- 分析/处理告警:
- 进入安全分析页面,打开sec-waf-access日志。
- 输入查询语句,筛选查询时间,并单击“查询/分析”。
response_code='200' and remote_ip=MATCH_QUERY('xx.xx.xx.xx')
图10 分析告警
- 根据查询结果,分析查询该IP有没有成功的访问请求。
- 通过分析,如果该攻击ip请求成功的都是非敏感url,不存在攻击成功或绕过WAF检测的风险,直接在告警详情页面,单击“关闭”,并根据提示关闭告警。
图11 关闭告警
- 如果是有风险url访问成功,直接在告警详情页面,单击“一键阻断”,填写风险IP,选择WAF防线,阻断老化15天,进行危险IP封堵。
图12 一键阻断
- 通过分析,如果该攻击ip请求成功的都是非敏感url,不存在攻击成功或绕过WAF检测的风险,直接在告警详情页面,单击“关闭”,并根据提示关闭告警。