告警处置建议
目前安全云脑在数据集成时,可以设置将接入的云服务日志自动转告警。针对转入的告警提供以下处理建议,请根据实际情况进行排查处理。
系统行为异常/高危命令执行
- 数据来源
主机安全告警日志
- 告警呈现
【dangercmd】【HSS】主机:{{ipList}}执行dangercmd,{{__time}}
- 监控场景主机执行
高危命令
- 告警对应字段
高危命令在安全云脑的告警中对应的字段查看方法如下:
- 进入安全云脑的 页面。
- 单击“主机安全服务告警分类映射”名称,进入分类映射详情页面。
其中高危命令执行对应“msg.appendInfo.event_type=3015”。
- 调查思路及处理建议
- 进入安全云脑的 页面,展开目标数据空间并单击数据管道sec-hss-alarm名称,右侧展示sec-hss-alarm的查询分析页面。
- 通过appendInfo.event_type、__time、ipList三个字段对应的值进行检索,查询出当前告警所对应详细日志,定位命令含义和目的:
- 利用appendInfo. process_info字段分析当前高危命令(process_cmdline)和其父进程命令(parent_process_cmdline)是否可疑;
- 同时,可利用sec-hss-log查询相近时间内主机(ipList)行为,通过appendInfo.pid_link(sec-hss-log)等字段与appendInfo. process_info.parent_process_pid(sec-hss-alarm)梳理进程的顺序关系,综合判断命令/进程是否为正常业务运行、是否有可能为黑客执行,同时对黑客入侵后行为有基本判定(查看敏感信息、查看网络环境、提权、网络探测、执行poc等)。
- 如果综合判断是黑客攻击行为触发,立即联系资产责任人处理。
- 高危命令
告警所涉及到的高危命令如下:
- strace:捕获和记录指定进程的所有系统调用,以及接收的所有信号。
- rz:用于从本地计算机向远程主机上传文件,通常用于SSH会话中。
- sz:用于从远程主机向本地计算机下载文件的命令,通常用于SSH会话中。
- tcpdump:用于数据包嗅探,可以抓取流动在网卡上的数据包。
- nmap:用于网络扫描和嗅探。
- nc/ncat:全称netcat,实现很多网络相关功能,如监听、连接端口等。
Web攻击/SQL注入
- 告警对应字段
SQL注入在安全云脑的告警中对应的字段查看方法如下:
- 进入安全云脑的 页面。
- 单击“Web应用防火墙告警分类映射”名称,进入分类映射详情页面。
其中SQL注入对应的“msg.attack”为“sqli”。
- 排查方法及处理建议如下:
Web攻击/漏洞攻击
- 告警对应字段
漏洞攻击在安全云脑的告警中对应的字段查看方法如下:
- 进入安全云脑的 页面。
- 单击“Web应用防火墙告警分类映射”名称,进入分类映射详情页面。
其中漏洞攻击对应的“msg.attack”为“vuln”。
- 排查方法及处理建议如下:
Web攻击/命令注入
- 告警对应字段
命令注入在安全云脑的告警中对应的字段查看方法如下:
进入安全云脑的“Web应用防火墙告警分类映射”名称,进入分类映射详情页面,其中命令注入对应的“msg.attack”为“cmdi”。
页面,单击 - 排查方法及处理建议如下:
- 进入安全云脑的 页面,展开目标数据空间并单击数据管道sec-waf-attack名称,右侧展示sec-waf-attack的查询分析页面。
- 通过attack、__time、sip三个字段对应的值进行检索,查询出当前告警所对应详细日志。关键参数信息如下:
- hit_data:攻击报文或链接
- uri:请求url
- action:处理动作
- cookie:请求cookie信息
- header:请求header信息
- 根据攻击报文判断命令注入的方式,定位该应用程序是否存在该漏洞。
- 如果存在尽快修补漏洞,并更新相关软件或库的版本。
- 对系统进行全面的检查,确认是否存在其他的漏洞或后门,以保证系统的安全性。
- 限制系统的访问权限,例如禁用root账户、限制访问来源IP等,以减少攻击者可能的入侵路径等。
系统行为异常/进程异常行为
根据告警对应的影响资产,对受影响资产、服务、业务等有基本定位。
- 告警对应字段
进程异常行为在安全云脑的告警中对应的字段查看方法如下:
- 进入安全云脑的 页面。
- 单击“主机安全服务告警分类映射”名称,进入分类映射详情页面。
其中进程异常行为对应“msg.appendInfo.event_type=3007”。
- 排查方法及处理建议如下:
- 进入安全云脑的
- appendInfo.event_type、__time、ipList三个字段对应的值进行检索,查询出当前告警所对应详细日志。
页面,展开目标数据空间并单击数据管道sec-hss-alarm名称,右侧展示sec-hss-alarm的查询分析页面。
- 通过查看appendInfo. process_info中当前进程和父进程的信息,综合判断是否异常,如果异常,则联系对应资源负责人处理。
- 立即停止受影响的进程或服务,以避免继续受到攻击或造成其他损害;
- 尽快调查异常行为的原因和来源,例如查看日志、监控系统、分析进程内存等,以确定异常的具体表现和可能的根本原因;
- 根据异常行为的性质和严重程度,采取适当的应对措施,例如重启进程、修复软件错误、排除系统故障、更换硬件设备等;
- 对受影响的系统进行全面的检查,确认是否存在其他的漏洞或后门,以保证系统的安全性。
- 进入安全云脑的
系统行为异常/关键文件目录变更
根据告警对应的影响资产,对受影响资产、服务、业务等有基本定位。
- 告警对应字段
关键文件目录变更在安全云脑的告警中对应的字段查看方法如下:
- 进入安全云脑的 页面。
- 单击“主机安全服务告警分类映射”名称,进入分类映射详情页面。
其中关键文件目录变更对应“msg.appendInfo.event_type=3005”。
- 排查方法及处理建议如下:
- 进入安全云脑的 页面,展开目标数据空间并单击数据管道sec-hss-alarm名称,右侧展示sec-hss-alarm的查询分析页面。
- 通过appendInfo.event_type、__time、ipList三个字段对应的值进行检索,查询出当前告警所对应详细日志。
其中appendInfo.file_info为文件目录信息,判断是否异常,如果异常,则联系对应资源负责人处理。
- 确定变更的影响范围:首先需要确定目录变更对哪些文件产生了影响,以及这些文件对业务的影响程度。如果变更的影响范围比较大,需要立即采取措施防止进一步的损失。
- 恢复关键文件:如果目录/文件异常变更,需要及时恢复。如果文件被删除或损坏,需要从备份中恢复。如果没有备份,需要立即停止相关操作,采取数据恢复措施,尽可能将文件恢复到变更前的状态。
- 更新相关配置:对于一些需要配置文件路径的程序和系统,需要及时更新相关配置,确保这些程序和系统能够正确访问到关键文件。
- 审查变更原因:对于目录变更的原因,需要进行审查和排查。如果是人为错误导致的,需要及时纠正和加强管理。如果是系统自动进行的调整,需要评估调整的必要性和影响,确保变更的合理性和安全性。
- 加强安全措施:对于关键文件的安全管理,需要加强措施,确保文件不会被误删除、恶意篡改或泄露。可以采取加密、备份、访问控制等措施,确保文件的完整性和可用性。