背景信息
网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。
当安全产品检测到一条威胁事件时,除了要分析威胁事件本身,还要分析威胁事件影响的资产情况,为处置决策提供全面准确的依据。
威胁聚合分析
如下以分析“ssh暴力破解”事件为例,介绍如何进行威胁聚合分析。
-
在威胁聚合页面,用 “事件名称” 作为聚合条件进行检索,查找到一条“ssh暴力破解”事件数据,显示该事件中受影响资产数有3个。
-
单击受影响资产数字,进入威胁事件页面,可以查看这3个资产的具体IP。
-
单击其中一个资产操作列的“查看详情”,进入资产详情页面,查看该资产的详情和存在漏洞情况。
-
通过资产归属信息,可以立即找到该资产的负责人,为后续处置提供依据。
-
查看资产IP开放的服务,用户自行比对是否是预期开放的服务。
-
同时也可以查找到资产存在哪些漏洞,通过漏洞列表操作列的“查看详情”,用户可以快速找到漏洞修复的解决方案,为后续处置提供依据。
-
处置建议
基于聚合分析提供的数据,有以下处置建议:
- 受攻击资产IP立即修改密码。
- 受攻击资产IP关闭非预期开放的端口。
- 受攻击资产IP基于漏洞修复方案完成全部漏洞修复。
- 使用态势感知弱口令检测功能排查网内资产存在的弱口令风险。
