更新时间:2024-12-20 GMT+08:00

告警处置建议

目前安全云脑在数据集成时,可以设置将接入的云服务日志自动转告警。针对转入的告警提供以下处理建议,请根据实际情况进行排查处理。

系统行为异常/高危命令执行

  • 数据来源

    主机安全告警日志

  • 告警呈现

    【dangercmd】【HSS】主机:{{ipList}}执行dangercmd,{{__time}}

  • 监控场景主机执行

    高危命令

  • 告警对应字段

    高危命令在安全云脑的告警中对应的字段查看方法如下:

    1. 进入安全云脑的安全编排 > 运营对象 > 分类&映射页面。
    2. 单击“主机安全服务告警分类映射”名称,进入分类映射详情页面。

      其中高危命令执行对应“msg.appendInfo.event_type=3015”

  • 调查思路及处理建议
    1. 进入安全云脑的威胁运营 > 安全分析页面,展开目标数据空间并单击数据管道sec-hss-alarm名称,右侧展示sec-hss-alarm的查询分析页面。
    2. 通过appendInfo.event_type、__time、ipList三个字段对应的值进行检索,查询出当前告警所对应详细日志,定位命令含义和目的:
      • 利用appendInfo. process_info字段分析当前高危命令(process_cmdline)和其父进程命令(parent_process_cmdline)是否可疑;
      • 同时,可利用sec-hss-log查询相近时间内主机(ipList)行为,通过appendInfo.pid_link(sec-hss-log)等字段与appendInfo. process_info.parent_process_pid(sec-hss-alarm)梳理进程的顺序关系,综合判断命令/进程是否为正常业务运行、是否有可能为黑客执行,同时对黑客入侵后行为有基本判定(查看敏感信息、查看网络环境、提权、网络探测、执行poc等)。
      • 如果综合判断是黑客攻击行为触发,立即联系资产责任人处理。
  • 高危命令

    告警所涉及到的高危命令如下:

    • strace:捕获和记录指定进程的所有系统调用,以及接收的所有信号。
    • rz:用于从本地计算机向远程主机上传文件,通常用于SSH会话中。
    • sz:用于从远程主机向本地计算机下载文件的命令,通常用于SSH会话中。
    • tcpdump:用于数据包嗅探,可以抓取流动在网卡上的数据包。
    • nmap:用于网络扫描和嗅探。
    • nc/ncat:全称netcat,实现很多网络相关功能,如监听、连接端口等。

Web攻击/SQL注入

  • 告警对应字段

    SQL注入在安全云脑的告警中对应的字段查看方法如下:

    1. 进入安全云脑的安全编排 > 运营对象 > 分类&映射页面。
    2. 单击“Web应用防火墙告警分类映射”名称,进入分类映射详情页面。

      其中SQL注入对应的“msg.attack”“sqli”

  • 排查方法及处理建议如下
    1. 进入安全云脑的威胁运营 > 安全分析页面,展开目标数据空间并单击数据管道sec-waf-attack名称,右侧展示sec-waf-attack的查询分析页面。
    2. 通过attack、__time、sip三个字段对应的值进行检索,查询出当前告警所对应详细日志。关键参数信息如下:
      • hit_data:攻击报文或链接
      • uri:请求url
      • action:处理动作
      • cookie:请求cookie信息
    3. 根据攻击报文判断SQL注入的方式,定位该应用程序是否存在该漏洞。

      如果存在请及时修复,采用使用参数化查询、输入验证、更新和修补软件等处理方法。

Web攻击/漏洞攻击

  • 告警对应字段

    漏洞攻击在安全云脑的告警中对应的字段查看方法如下:

    1. 进入安全云脑的安全编排 > 运营对象 > 分类&映射页面。
    2. 单击“Web应用防火墙告警分类映射”名称,进入分类映射详情页面。

      其中漏洞攻击对应的“msg.attack”“vuln”

  • 排查方法及处理建议如下
    1. 进入安全云脑的威胁运营 > 安全分析页面,展开目标数据空间并单击数据管道sec-waf-attack名称,右侧展示sec-waf-attack的查询分析页面。
    2. 通过attack、__time、sip三个字段对应的值进行检索,查询出当前告警所对应详细日志。关键参数信息如下:
      • hit_data:攻击报文或链接
      • uri:请求url
      • action:处理动作
      • cookie:请求cookie信息
      • header:请求header信息
    3. 根据攻击报文判定为哪种漏洞攻击,同时对受攻击的资产进行漏洞查询。

      如果存在此漏洞,请及时修复,防止攻击者再次利用漏洞攻击系统或应用程序。

Web攻击/命令注入

  • 告警对应字段

    命令注入在安全云脑的告警中对应的字段查看方法如下:

    进入安全云脑的安全编排 > 运营对象 > 分类&映射页面,单击“Web应用防火墙告警分类映射”名称,进入分类映射详情页面,其中命令注入对应的“msg.attack”“cmdi”

  • 排查方法及处理建议如下
    1. 进入安全云脑的威胁运营 > 安全分析页面,展开目标数据空间并单击数据管道sec-waf-attack名称,右侧展示sec-waf-attack的查询分析页面。
    2. 通过attack、__time、sip三个字段对应的值进行检索,查询出当前告警所对应详细日志。关键参数信息如下:
      • hit_data:攻击报文或链接
      • uri:请求url
      • action:处理动作
      • cookie:请求cookie信息
      • header:请求header信息
    3. 根据攻击报文判断命令注入的方式,定位该应用程序是否存在该漏洞。
      • 如果存在尽快修补漏洞,并更新相关软件或库的版本。
      • 对系统进行全面的检查,确认是否存在其他的漏洞或后门,以保证系统的安全性。
      • 限制系统的访问权限,例如禁用root账户、限制访问来源IP等,以减少攻击者可能的入侵路径等。

系统行为异常/进程异常行为

根据告警对应的影响资产,对受影响资产、服务、业务等有基本定位。

  • 告警对应字段

    进程异常行为在安全云脑的告警中对应的字段查看方法如下:

    1. 进入安全云脑的安全编排 > 运营对象 > 分类&映射页面。
    2. 单击“主机安全服务告警分类映射”名称,进入分类映射详情页面。

      其中进程异常行为对应“msg.appendInfo.event_type=3007”

  • 排查方法及处理建议如下
    1. 进入安全云脑的威胁运营 > 安全分析页面,展开目标数据空间并单击数据管道sec-hss-alarm名称,右侧展示sec-hss-alarm的查询分析页面。
      1. appendInfo.event_type、__time、ipList三个字段对应的值进行检索,查询出当前告警所对应详细日志。
    2. 通过查看appendInfo. process_info中当前进程和父进程的信息,综合判断是否异常,如果异常,则联系对应资源负责人处理。
      • 立即停止受影响的进程或服务,以避免继续受到攻击或造成其他损害;
      • 尽快调查异常行为的原因和来源,例如查看日志、监控系统、分析进程内存等,以确定异常的具体表现和可能的根本原因;
      • 根据异常行为的性质和严重程度,采取适当的应对措施,例如重启进程、修复软件错误、排除系统故障、更换硬件设备等;
      • 对受影响的系统进行全面的检查,确认是否存在其他的漏洞或后门,以保证系统的安全性。

系统行为异常/关键文件目录变更

根据告警对应的影响资产,对受影响资产、服务、业务等有基本定位。

  • 告警对应字段

    关键文件目录变更在安全云脑的告警中对应的字段查看方法如下:

    1. 进入安全云脑的安全编排 > 运营对象 > 分类&映射页面。
    2. 单击“主机安全服务告警分类映射”名称,进入分类映射详情页面。

      其中关键文件目录变更对应“msg.appendInfo.event_type=3005”

  • 排查方法及处理建议如下
    1. 进入安全云脑的威胁运营 > 安全分析页面,展开目标数据空间并单击数据管道sec-hss-alarm名称,右侧展示sec-hss-alarm的查询分析页面。
    2. 通过appendInfo.event_type、__time、ipList三个字段对应的值进行检索,查询出当前告警所对应详细日志。

      其中appendInfo.file_info为文件目录信息,判断是否异常,如果异常,则联系对应资源负责人处理。

      • 确定变更的影响范围:首先需要确定目录变更对哪些文件产生了影响,以及这些文件对业务的影响程度。如果变更的影响范围比较大,需要立即采取措施防止进一步的损失。
      • 恢复关键文件:如果目录/文件异常变更,需要及时恢复。如果文件被删除或损坏,需要从备份中恢复。如果没有备份,需要立即停止相关操作,采取数据恢复措施,尽可能将文件恢复到变更前的状态。
      • 更新相关配置:对于一些需要配置文件路径的程序和系统,需要及时更新相关配置,确保这些程序和系统能够正确访问到关键文件。
      • 审查变更原因:对于目录变更的原因,需要进行审查和排查。如果是人为错误导致的,需要及时纠正和加强管理。如果是系统自动进行的调整,需要评估调整的必要性和影响,确保变更的合理性和安全性。
      • 加强安全措施:对于关键文件的安全管理,需要加强措施,确保文件不会被误删除、恶意篡改或泄露。可以采取加密、备份、访问控制等措施,确保文件的完整性和可用性。