告警处置建议

系统行为异常/高危命令执行

Web攻击/SQL注入

• 告警对应字段

  SQL注入在安全云脑的告警中对应的字段查看方法如下：

  1. 进入安全云脑的“安全编排 > 运营对象 > 分类&映射”页面。
  2. 单击“Web应用防火墙告警分类映射”名称，进入分类映射详情页面。

     其中SQL注入对应的“msg.attack”为“sqli”。

• 排查方法及处理建议如下：
  1. 进入安全云脑的“威胁运营 > 安全分析”页面，展开目标数据空间并单击数据管道sec-waf-attack名称，右侧展示sec-waf-attack的查询分析页面。
  2. 通过attack、__time、sip三个字段对应的值进行检索，查询出当前告警所对应详细日志。关键参数信息如下：
     • hit_data：攻击报文或链接
     • uri：请求url
     • action：处理动作
     • cookie：请求cookie信息
  3. 根据攻击报文判断SQL注入的方式，定位该应用程序是否存在该漏洞。

     如果存在请及时修复，采用使用参数化查询、输入验证、更新和修补软件等处理方法。

Web攻击/漏洞攻击

• 告警对应字段

  漏洞攻击在安全云脑的告警中对应的字段查看方法如下：

  1. 进入安全云脑的“安全编排 > 运营对象 > 分类&映射”页面。
  2. 单击“Web应用防火墙告警分类映射”名称，进入分类映射详情页面。

     其中漏洞攻击对应的“msg.attack”为“vuln”。

• 排查方法及处理建议如下：
  1. 进入安全云脑的“威胁运营 > 安全分析”页面，展开目标数据空间并单击数据管道sec-waf-attack名称，右侧展示sec-waf-attack的查询分析页面。
  2. 通过attack、__time、sip三个字段对应的值进行检索，查询出当前告警所对应详细日志。关键参数信息如下：
     • hit_data：攻击报文或链接
     • uri：请求url
     • action：处理动作
     • cookie：请求cookie信息
     • header：请求header信息
  3. 根据攻击报文判定为哪种漏洞攻击，同时对受攻击的资产进行漏洞查询。

     如果存在此漏洞，请及时修复，防止攻击者再次利用漏洞攻击系统或应用程序。

Web攻击/命令注入

• 告警对应字段

  命令注入在安全云脑的告警中对应的字段查看方法如下：

  进入安全云脑的“安全编排 > 运营对象 > 分类&映射”页面，单击“Web应用防火墙告警分类映射”名称，进入分类映射详情页面，其中命令注入对应的“msg.attack”为“cmdi”。

• 排查方法及处理建议如下：
  1. 进入安全云脑的“威胁运营 > 安全分析”页面，展开目标数据空间并单击数据管道sec-waf-attack名称，右侧展示sec-waf-attack的查询分析页面。
  2. 通过attack、__time、sip三个字段对应的值进行检索，查询出当前告警所对应详细日志。关键参数信息如下：
     • hit_data：攻击报文或链接
     • uri：请求url
     • action：处理动作
     • cookie：请求cookie信息
     • header：请求header信息
  3. 根据攻击报文判断命令注入的方式，定位该应用程序是否存在该漏洞。
     • 如果存在尽快修补漏洞，并更新相关软件或库的版本。
     • 对系统进行全面的检查，确认是否存在其他的漏洞或后门，以保证系统的安全性。
     • 限制系统的访问权限，例如禁用root账户、限制访问来源IP等，以减少攻击者可能的入侵路径等。

系统行为异常/进程异常行为

根据告警对应的影响资产，对受影响资产、服务、业务等有基本定位。

• 告警对应字段

  进程异常行为在安全云脑的告警中对应的字段查看方法如下：

  1. 进入安全云脑的“安全编排 > 运营对象 > 分类&映射”页面。
  2. 单击“主机安全服务告警分类映射”名称，进入分类映射详情页面。

     其中进程异常行为对应“msg.appendInfo.event_type=3007”。

• 排查方法及处理建议如下：
  1. 进入安全云脑的“威胁运营 > 安全分析”页面，展开目标数据空间并单击数据管道sec-hss-alarm名称，右侧展示sec-hss-alarm的查询分析页面。
     1. appendInfo.event_type、__time、ipList三个字段对应的值进行检索，查询出当前告警所对应详细日志。
  2. 通过查看appendInfo. process_info中当前进程和父进程的信息，综合判断是否异常，如果异常，则联系对应资源负责人处理。
     • 立即停止受影响的进程或服务，以避免继续受到攻击或造成其他损害；
     • 尽快调查异常行为的原因和来源，例如查看日志、监控系统、分析进程内存等，以确定异常的具体表现和可能的根本原因；
     • 根据异常行为的性质和严重程度，采取适当的应对措施，例如重启进程、修复软件错误、排除系统故障、更换硬件设备等；
     • 对受影响的系统进行全面的检查，确认是否存在其他的漏洞或后门，以保证系统的安全性。

系统行为异常/关键文件目录变更

根据告警对应的影响资产，对受影响资产、服务、业务等有基本定位。

• 告警对应字段

  关键文件目录变更在安全云脑的告警中对应的字段查看方法如下：

  1. 进入安全云脑的“安全编排 > 运营对象 > 分类&映射”页面。
  2. 单击“主机安全服务告警分类映射”名称，进入分类映射详情页面。

     其中关键文件目录变更对应“msg.appendInfo.event_type=3005”。

• 排查方法及处理建议如下：
  1. 进入安全云脑的“威胁运营 > 安全分析”页面，展开目标数据空间并单击数据管道sec-hss-alarm名称，右侧展示sec-hss-alarm的查询分析页面。
  2. 通过appendInfo.event_type、__time、ipList三个字段对应的值进行检索，查询出当前告警所对应详细日志。

     其中appendInfo.file_info为文件目录信息，判断是否异常，如果异常，则联系对应资源负责人处理。

     • 确定变更的影响范围：首先需要确定目录变更对哪些文件产生了影响，以及这些文件对业务的影响程度。如果变更的影响范围比较大，需要立即采取措施防止进一步的损失。
     • 恢复关键文件：如果目录/文件异常变更，需要及时恢复。如果文件被删除或损坏，需要从备份中恢复。如果没有备份，需要立即停止相关操作，采取数据恢复措施，尽可能将文件恢复到变更前的状态。
     • 更新相关配置：对于一些需要配置文件路径的程序和系统，需要及时更新相关配置，确保这些程序和系统能够正确访问到关键文件。
     • 审查变更原因：对于目录变更的原因，需要进行审查和排查。如果是人为错误导致的，需要及时纠正和加强管理。如果是系统自动进行的调整，需要评估调整的必要性和影响，确保变更的合理性和安全性。
     • 加强安全措施：对于关键文件的安全管理，需要加强措施，确保文件不会被误删除、恶意篡改或泄露。可以采取加密、备份、访问控制等措施，确保文件的完整性和可用性。