安全云脑 SecMaster-值班监控:典型告警处理指导
下载安全云脑 SecMaster用户手册完整版
典型告警处理指导
|
告警类型 |
安全防线 |
依赖数据源 |
云脑智能模型 |
护网推荐处理建议 |
|---|---|---|---|---|
|
侦察阶段典型告警 |
网络防线 |
NIP攻击日志 |
网络-高危端口对外暴露 |
排查源IP对系统中的高危端口连接是否为业务需要。如果为业务需要,可修改模型脚本将该源IP过滤掉;如果非业务需要,则可修改相应安全组入方向规则,禁止高危端口暴漏公网,或者对源ip进行封堵拦截。同时为保证系统安全,尽量关闭不必要的端口。 |
|
侦察阶段典型告警 |
应用防线 |
WAF攻击日志 |
应用-源ip进行url遍历 |
应急处理可以记录所有的访问请求和响应,及时发现攻击行为,针对攻击源IP进行限制或者阻断,可以通过配置黑名单策略进行封锁。 |
|
侦察阶段典型告警 |
应用防线 |
WAF访问日志 |
应用-疑似存在源码泄露风险 |
应急处理可以记录所有的访问请求和响应,及时发现攻击行为,针对攻击源IP进行限制或者阻断,可以通过配置黑名单策略进行封锁。 |
|
尝试攻击典型告警 |
应用防线 |
WAF攻击日志 |
应用-WAF关键攻击告警、应用-疑似存在Shiro漏洞、应用-疑似存在log4j2漏洞、应用-疑似存在 Java框架通用代码执行漏洞、应用-疑似存在fastjson漏洞 |
需要联系业务责任人,排查Web服务器是否存在相关漏洞,确认是否攻击成功。如果存在漏洞,应及时修改漏洞并加固安全;如果攻击成功,可结合威胁情报对攻击IP进行拦截。 |
|
尝试攻击典型告警 |
网络防线 |
NIP攻击日志 |
网络-检测黑客工具攻击、网络-登录爆破告警 |
请确认该操作是否为正常业务人员的行为,如果不是,可以参考以下处置建议:
|
|
尝试攻击典型告警 |
网络防线 |
CFW访问控制日志 |
网络-疑似存在DOS攻击 |
请确认该操作是否为正常业务人员的行为,如果不是,可在相关网络设备上进行IP拦截或封堵。 |
|
入侵成功典型告警 |
网络防线 |
NIP攻击日志 |
网络-命令注入告警 |
如果发现源端口或目的端口为4444、8686、7778等非常用端口(可疑端口一般为4个数字),需联系责任人确认业务场景。如果不是正常业务行为,可能是黑客正在进行命令注入攻击,需要结合业务及主机日志查看是否被成功入侵,同时也可以对攻击ip采取拦截封堵等措施。 |
|
入侵成功典型告警 |
网络防线 |
NIP攻击日志 |
网络-恶意软件 [蠕虫、病毒、木马] |
首先应该立即断开与互联网的连接,防止恶意软件进一步传播或者窃取您的敏感信息。之后可通过系统还原,杀毒软件等方式扫描和清除恶意软件。 |
|
入侵成功典型告警 |
主机防线 |
主机安全告警日志 |
主机-暴力破解成功、主机-异常shell、主机-异地登录 |
请确认该事件是否攻击成功,如果攻击成功,表明该主机已经失陷,需要进行主机隔离,防止风险扩散,之后对失陷的主机进行加固。 |
|
入侵成功典型告警 |
主机防线 |
主机安全日志 |
主机-进程和端口信息隐匿、主机-异常文件属性修改 |
及时判断是否是内部人员操作,是否为误操作。如果是异常进程,或文件存在恶意行为,执行相关命令结束进程。 |
|
防御绕过典型告警 |
主机防线 |
主机安全告警日志 |
主机-rootkit事件 |
立即确认该Rootkit安装是否正常业务引起。如果是非正常业务引起的,建议您立即登录系统终止该Rootkit安装行为,利用主机安全告警信息全面排查系统风险,避免系统遭受进一步破坏。 |
|
权限维持典型告警 |
主机防线 |
主机安全告警日志 |
主机-反弹shell、主机-恶意程序 |
联系所属主机的责任人,登录到主机上停止恶意程序并删除恶意文件,同时进一步排查是否存在可疑进程,是否开放了可疑端口,是否有可疑连接等,并进一步检查自启动项,避免遗留,此外可以结合其他方式进行综合判断。 |
|
权限维持典型告警 |
网络防线 |
NIP攻击日志 |
网络-检测异常连接行为 |
首先需要确认是否为真实的异常行为,而非误报或误判。可以通过多个方法进行确认,例如,查看日志记录、使用网络监控工具等。一旦确认存在异常连接行为,需要立即采取措施切断该异常连接,消除恶意软件,以避免进一步安全问题的发生。 |
|
横向移动典型告警 |
主机防线 |
主机安全日志 |
主机-虚拟机横向连接 |
建议通过 堡垒机 等审计记录查看该命令是程序执行还是人为操作,如果为人为操作,需联系对应操作人确定,风格为非正常业务人员操作,需尽快确定该行为是否为异常恶意行为,是否危害到对应虚拟机,及时采取措施,保护计算机和系统的安全。 |
|
持久化控制典型告警 |
网络防线 |
NIP攻击日志 |
网络-后门 |
首先应该立即断开与互联网的连接,防止后门进一步传播或者窃取您的敏感信息。可以使用杀毒软件进行扫描和清除后门,并查找和删除可疑文件,确保系统的安全性。 |
|
持久化控制典型告警 |
主机防线 |
主机安全日志 |
主机-恶意定时任务写入 |
请确认是否为正常业务任务,如果不是,可以停用计划任务。 |
