值班监控
操作场景
安全云脑提供了4+1个大屏,一个是综合态势感知大屏,其他四个大屏分别是值班响应大屏、资产大屏、威胁态势大屏和脆弱性大屏。
网络防护前请确保已经完成自查整改,清零所有未处理的运营数据。
网络防护期间,安全值班人员需要重点关注“值班响应大屏”的数据信息,当有告警冒泡出来的时候,及时进行告警处理,清零全部告警数据。
通过告警详情页数据进行告警分析,如果需要结合其他日志数据,可通过安全分析在对应数据管道进行查询统计溯源。误报告警直接关闭,有风险告警可通过“一键阻断”能力应急阻断。
值班监控
- 登录安全云脑 SecMaster控制台。
- 并进入目标工作空间管理页面。
- 在左侧导航栏选择,进入安全大屏页面。 图1 进入安全大屏页面
- 单击“值班响应大屏”右下角的“播放”,进入值班响应大屏信息页面,在“未处理告警”模块中,单击告警描述,页面跳转到“告警详情”页面。
- 分析告警。
告警详情页面可以查看告警概览、上下文和评论信息。
- 概览页面可以看到告警摘要、处理建议、相关基础信息和涉及的详情信息等。
- 上下文页面可以看到告警的上下文关键信息和全文信息
- 评论页面中,可以查看评论信息,评论信息中是告警所有的处置和评论历史信息。
不同的告警结合不同的信息进行分析,可以通过告警关联信息,告警payload,告警详情分析。
图2 告警详情示例
如果需要结合历史或者其他日志进行分析的,也可以使用安全分析进行统计分析,进一步判断告警是否有风险。
图3 安全分析示例
- 应急处置告警。
- 通过告警详情页面数据并结合安全分析,分析出告警有风险,就可以通过告警详情页面,单击页面上方“一键阻断”,对攻击IP进行阻断。
- 配置阻断信息。 图4 一键阻断
表1 新增策略 参数名称
参数说明
策略类型
根据需要选择策略类型:“阻断”或“加白名单”。
- 当选择“阻断”:阻断的策略对象将被禁止访问。
- 当选择“加白名单”:加入白名单的策略对象访问请求将被放行。
对象类型
当“策略类型”选择“阻断”时,对象类型可选范围有“IP”、“账号”、“域名”。
当“策略类型”选择“加白名单”时,对象类型可选范围有“IP”、“域名”。
请根据需要选择对象类型。
- 当选择“IP”:策略的操作对象是IP地址或IP地址段。
- 当选择“域名”:策略的操作对象是域名。
- 当选择“账号”:策略的操作对象是云服务账号(IAM用户名)。
策略对象
请输入策略对象。
- 当“对象类型”选择“IP”时:策略对象请输入IP地址或IP地址段。请输入单个或多个IP地址或IP地址段,如有多个IP地址或IP地址段,请用英文逗号隔开。
填写示例:IPV4:192.168.0.0或192.168.0.0/12,IPV6:0:0:0:0:0:0:0:0或0:0:0:0:0:0:0:0/128。
- 当“对象类型”选择“域名”时:策略对象请输入域名。请输入单个或多个域名,如有多个域名,请用英文逗号隔开。域名只能由字母、数字、-、_和.组成,单段不能超过63个字符长度。
- 当“策略类型”选择“阻断”且“对象类型”选择“账号”时:策略对象请输入云服务账号(IAM用户名)。请输入单个或多个云服务账号(IAM用户名),如有多个云服务账号(IAM用户名),请用英文逗号隔开。
执行工具
勾选执行工具,即选择该策略的操作连接。
- 当“策略类型”选择“阻断”且“对象类型”选择“IP”时:可选择防线类型为CFW、VPC、WAF对应的操作连接。
- 当“策略类型”选择“阻断”且“对象类型”选择“账号”时:可选择防线类型为统一身份认证对应的操作连接。
- 当“策略类型”选择“阻断”且“对象类型”选择“域名”时:可选择防线类型为CFW对应的操作连接。
- 当“策略类型”选择“加白名单”且“对象类型”选择“IP”时:可选择防线类型为WAF对应的操作连接。
- 当“策略类型”选择“加白名单”且“对象类型”选择“域名”时:可选择防线类型为CFW对应的操作连接。
方向
仅当对象类型为IP时,可设置防线方向。
- 当“对象类型”选择“IP”且“执行工具”选择CFW、VPC对应的操作连接时,可以设置防线方向:内-外 外-内
- 外-内:互联网访问云上资产(EIP)。
- 内-外:云上资产(EIP)访问互联网。
- 当“对象类型”选择“IP”且“执行工具”选择WAF对应的操作连接时,可以设置防线方向:外-内
账号
选择新增策略所生效的账号范围。仅主工作空间的运营账号支持设置账号范围。
- “所有账号”:如果选择“所有账号”即该策略适用“运营账号”以及其所管理的所有“业务账号”。
- “指定账号”:如果选择“指定账号”并勾选对应账号,即表示该策略适用“运营账号”所管理的特定或部分“业务账号”。
其中运营账号和业务账号的含义如下:
- 运营账号:用来管理其他成员账号的主账号,也称为运营账号。一个运营账号可以管理多个业务账号。
- 业务账号:被运营账号(主账号)管理的成员账号,也称子账号。一个业务账号(子账号)仅能被一个运营账号管理。
- 主工作空间:系统默认安全云脑创建的第一个工作空间为主工作空间,且在页面置顶。也支持用户变更主工作空间。在页面,单击对应的目标工作空间右侧的
设置按钮,在弹出的工作空间详情页面打开“主工作空间”按钮即可完成主工作空间变更设置。
区域
选择新增策略所生效的区域范围。
- 当前区域
- 全部区域
- 指定区域项目
企业项目
选择新增策略所生效的企业项目范围。
- 全部企业项目
- 指定企业项目
自动过期
确认新增的应急策略是否自动过期。
- 如果选择是,请设置策略过期时间。
- 如果选择否,则该策略将一直有效。
标签(可选)
自定义应急策略的标签。
策略描述(可选)
自定义该策略的描述信息。
表2 推荐阻断策略 告警类型
对应防线
推荐阻断策略
阻断效果
HSS告警
主机防线
建议优先采用VPC策略阻断
下发策略主机访问控制封堵攻击IP
WAF告警
应用防线
建议优先采用WAF策略阻断
下发策略WAF黑名单控制攻击IP
CFW告警
网络防线
建议优先采用CFW策略阻断
下发策略CFW黑名单控制攻击IP
IAM告警
身份防线
建议优先采用IAM策略阻断
下发策略停用IAM用户
OBS/DBSS告警
数据防线
当前可根据实际攻击场景和调查结果考虑使用VPC策略阻断/CFW策略阻断,隔绝防护资产和攻击源的网络通信等
下发策略对资源访问控制封堵攻击IP/下发策略CFW黑名单控制攻击IP
- 单击“确认”。
- 关闭告警。
- 如果分析之后判断告警误报,可以通过告警详情页面,单击右上角“关闭”
- 在弹出的确认框中,选择关闭原因并输入评论信息后,单击“确认”,关闭告警。 图5 关闭告警
典型告警处理指导
| 告警类型 | 安全防线 | 依赖数据源 | 云脑智能模型 | 推荐处理建议 |
|---|---|---|---|---|
| 侦察阶段典型告警 | 网络防线 | NIP攻击日志 | 网络-高危端口对外暴露 | 排查源IP对系统中的高危端口连接是否为业务需要。如果为业务需要,可修改模型脚本将该源IP过滤掉;如果非业务需要,则可修改相应安全组入方向规则,禁止高危端口暴漏公网,或者对源ip进行封堵拦截。同时为保证系统安全,尽量关闭不必要的端口。 |
| 侦察阶段典型告警 | 应用防线 | WAF攻击日志 | 应用-源ip进行url遍历 | 应急处理可以记录所有的访问请求和响应,及时发现攻击行为,针对攻击源IP进行限制或者阻断,可以通过配置黑名单策略进行封锁。 |
| 侦察阶段典型告警 | 应用防线 | WAF访问日志 | 应用-疑似存在源码泄露风险 | 应急处理可以记录所有的访问请求和响应,及时发现攻击行为,针对攻击源IP进行限制或者阻断,可以通过配置黑名单策略进行封锁。 |
| 尝试攻击典型告警 | 应用防线 | WAF攻击日志 | 应用-WAF关键攻击告警、应用-疑似存在Shiro漏洞、应用-疑似存在log4j2漏洞、应用-疑似存在 Java框架通用代码执行漏洞、应用-疑似存在fastjson漏洞 | 需要联系业务责任人,排查Web服务器是否存在相关漏洞,确认是否攻击成功。如果存在漏洞,应及时修改漏洞并加固安全;如果攻击成功,可结合威胁情报对攻击IP进行拦截。 |
| 尝试攻击典型告警 | 网络防线 | NIP攻击日志 | 网络-检测黑客工具攻击、网络-登录爆破告警 | 请确认该操作是否为正常业务人员的行为,如果不是,可以参考以下处置建议:
|
| 尝试攻击典型告警 | 网络防线 | CFW访问控制日志 | 网络-疑似存在DOS攻击 | 请确认该操作是否为正常业务人员的行为,如果不是,可在相关网络设备上进行IP拦截或封堵。 |
| 入侵成功典型告警 | 网络防线 | NIP攻击日志 | 网络-命令注入告警 | 如果发现源端口或目的端口为4444、8686、7778等非常用端口(可疑端口一般为4个数字),需联系责任人确认业务场景。如果不是正常业务行为,可能是黑客正在进行命令注入攻击,需要结合业务及主机日志查看是否被成功入侵,同时也可以对攻击ip采取拦截封堵等措施。 |
| 入侵成功典型告警 | 网络防线 | NIP攻击日志 | 网络-恶意软件 [蠕虫、病毒、木马] | 首先应该立即断开与互联网的连接,防止恶意软件进一步传播或者窃取您的敏感信息。之后可通过系统还原,杀毒软件等方式扫描和清除恶意软件。 |
| 入侵成功典型告警 | 主机防线 | 主机安全告警日志 | 主机-暴力破解成功、主机-异常shell、主机-异地登录 | 请确认该事件是否攻击成功,如果攻击成功,表明该主机已经失陷,需要进行主机隔离,防止风险扩散,之后对失陷的主机进行加固。 |
| 入侵成功典型告警 | 主机防线 | 主机安全日志 | 主机-进程和端口信息隐匿、主机-异常文件属性修改 | 及时判断是否是内部人员操作,是否为误操作。如果是异常进程,或文件存在恶意行为,执行相关命令结束进程。 |
| 防御绕过典型告警 | 主机防线 | 主机安全告警日志 | 主机-rootkit事件 | 立即确认该Rootkit安装是否正常业务引起。如果是非正常业务引起的,建议您立即登录系统终止该Rootkit安装行为,利用主机安全告警信息全面排查系统风险,避免系统遭受进一步破坏。 |
| 权限维持典型告警 | 主机防线 | 主机安全告警日志 | 主机-反弹shell、主机-恶意程序 | 联系所属主机的责任人,登录到主机上停止恶意程序并删除恶意文件,同时进一步排查是否存在可疑进程,是否开放了可疑端口,是否有可疑连接等,并进一步检查自启动项,避免遗留,此外可以结合其他方式进行综合判断。 |
| 权限维持典型告警 | 网络防线 | NIP攻击日志 | 网络-检测异常连接行为 | 首先需要确认是否为真实的异常行为,而非误报或误判。可以通过多个方法进行确认,例如,查看日志记录、使用网络监控工具等。一旦确认存在异常连接行为,需要立即采取措施切断该异常连接,消除恶意软件,以避免进一步安全问题的发生。 |
| 横向移动典型告警 | 主机防线 | 主机安全日志 | 主机-虚拟机横向连接 | 建议通过堡垒机等审计记录查看该命令是程序执行还是人为操作,如果为人为操作,需联系对应操作人确定,风格为非正常业务人员操作,需尽快确定该行为是否为异常恶意行为,是否危害到对应虚拟机,及时采取措施,保护计算机和系统的安全。 |
| 持久化控制典型告警 | 网络防线 | NIP攻击日志 | 网络-后门 | 首先应该立即断开与互联网的连接,防止后门进一步传播或者窃取您的敏感信息。可以使用杀毒软件进行扫描和清除后门,并查找和删除可疑文件,确保系统的安全性。 |
| 持久化控制典型告警 | 主机防线 | 主机安全日志 | 主机-恶意定时任务写入 | 请确认是否为正常业务任务,如果不是,可以停用计划任务。 |
