文档首页 > > 常见问题> 产品咨询>

如何处理暴力破解告警事件?

如何处理暴力破解告警事件?

分享
更新时间:2021/01/21 GMT+08:00

暴力破解是一种常见的入侵攻击行为,攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码,一旦破解成功,即可实施攻击和控制,严重危害资产的安全。

态势感知联动企业主机安全服务(HSS),接收HSS检测到的暴力破解行为,集中呈现和管理告警事件;同时可实施安全编排策略,提升运维效率。

处理告警事件

HSS通过暴力破解检测算法和全网IP黑名单,若发现暴力破解主机的行为,对发起攻击的源IP进行拦截,并上报告警事件。

当接收到来源于HSS的告警事件时,请登录HSS管理控制台确认并处理告警事件。

  • 若您的主机被爆破成功,检测到入侵者成功登录主机,账户下所有云服务器可能已被植入恶意程序,建议参考如下措施,立即处理告警事件,避免进一步危害主机的风险。
    1. 请立即确认登录主机的源IP的可信情况。
    2. 请立即修改被暴力破解的系统账户口令。
    3. 请立即执行检测入侵风险账户,排查可疑账户并处理。
    4. 请及时执行恶意程序云查杀,排查系统恶意程序。
  • 若您的主机被暴力破解,攻击源IP被HSS拦截,请参考如下措施,加固主机安全。
    1. 请及时确认登录主机的源IP的可信情况。
    2. 请及时登录主机系统,全面排查系统风险。
    3. 请根据实际需求升级HSS防护能力。
    4. 请根据实际情况加固主机安全组、防火墙配置。

详情请参见HSS如何处理账户暴力破解事件?

实施安全编排策略

安全编排针对SSH暴力破解、RDP暴力破解、MySQL暴力破解、MsSQL暴力破解、暴力破解成功等告警子类型,预置资产安全加固策略,可一键执行编排策略,排查并加固主机安全配置。

  1. 登录管理控制台。
  2. 在页面左上角单击,选择安全 > 态势感知 > 威胁告警,进入告警列表管理页面。
  3. 选择“安全编排”页签,进入安全编排管理页面。
  4. 单击“查看详情,实施策略”,进入安全编排事件详情页面。
  5. 选择目标事件,单击“事件类型”名称,进入事件设置策略窗口。
  6. “事件处理”区域,选择“执行安全编排(内容如下表)”的处理方式。
  7. 在弹出的对话框中,选择消息通知主题。
  8. 返回事件详情窗口,单击“确认”,当事件状态显示“执行完成”后,即策略执行完成。

详情请参见实施编排策略

标记告警事件

告警事件处理完成后,您可以根据处理情况,标记已识别的告警事件,加强对告警事件的管理。

  1. 登录管理控制台。
  2. 在页面左上角单击,选择安全 > 态势感知 > 威胁告警,进入告警列表管理页面。
  3. 选择“暴力破解”事件类型,刷新告警列表。
  4. 选择目标事件,根据实际情况忽略无威胁告警事件,标记已处理的告警事件。

更多详情说明请参见查看告警列表

分享: