安全告警关联相关安全分析场景

安全告警关联分析归纳起来可以分为四类:1、同一攻击源/目的特定告警数量叠加,可能遭受持续性攻击;2、内网主机发起安全攻击,可能主机已经失陷、横向攻击;3)不同网络位置的关联告警,可能已经绕过边界防护;4)告警/异常告警关联后判定攻击成功。
在前期三篇安全分析场景的文章里,主要从威胁情报账号异常网络异常三个维度进行了梳理,其中也涉及到了部分与安全告警的关联,在此就不做重复性描述,感兴趣的话可以查看“分析场景”标签中的文章。

大量同一类型攻击相关场景

▼▼场景一:同一源地址多次发起同一类型攻击

  • 场景描述:通过同一类型安全攻击告警次数,判定源地址是否发起持续性安全攻击。
  • 分析方法:特定时间内(如10分钟内),同一源地址发起特定攻击(如远程漏洞利用攻击)超过一定数量(如20次)。
  • 数据源:IDS、IPS、NTA
  • 解决方案:检查被攻击机器是否存在漏洞,确认安全攻击是否成功。

▼▼场景二:同一目的地址遭受多次同一类型攻击
  • 场景描述:通过同一类型安全攻击告警次数,判定目的地址是否遭受持续性安全攻击。

  • 分析方法:特定时间内(如10分钟内),同一目的地址遭受特定攻击(如远程漏洞利用攻击)超过一定数量(如20次)。

  • 数据源:IDS、IPS、NTA

  • 解决方案:检查被攻击机器是否存在漏洞,确认安全攻击是否成功。

内网主机发起攻击相关场景

▼▼场景三:同一内网主机多次发起同一类型攻击

  • 场景描述:通过内网主机发起安全攻击告警次数,判定内网主机是否已经失陷。
  • 分析方法:特定时间内(如10分钟内),同一源地址内网主机发起特定攻击(如远程漏洞利用攻击)超过一定数量(如20次)。
  • 数据源:IDS、IPS、NTA
  • 解决方案:检查源地址机器是否被控制,检查被攻击机器是否存在漏洞,确认安全攻击是否成功。

▼▼场景四:同一内网主机被攻击后发起网络扫描
  • 场景描述:通过内网主机被攻击后发起网络扫描,判定内网主机是否已经失陷。

  • 分析方法:特定时间内(如60分钟内),同一源地址内网主机被植入webshell后发起网络扫描。

  • 数据源:FW、WAF

  • 解决方案:屏蔽该地址对内部服务的访问、对发生告警主机进行webshell查杀。

发生关联攻击告警相关场景

▼▼场景五:web网页扫描后发起web攻击

  • 场景描述:通过web网页扫描与web攻击告警,判定web应用正在遭受持续性攻击。

  • 分析方法:特定时间内(如60分钟内),同一源地址发生web扫描告警后,发生web攻击告警。

  • 数据源:IPS、IDS、WAF

  • 解决方案:屏蔽该地址对内部服务的访问,确定该事件是否为恶意攻击行为。
▼▼场景六:绕过WAF防护发起web攻击
  • 场景描述:通过绕过WAF防护发起web攻击告警,判定web攻击已经绕过WAF防御。

  • 分析方法:发生WAF攻击告警(事件A)后特定时间内(如3分钟内),发生IDS攻击告警(事件B),事件A.源地址=事件B.源地址且事件A.目的地址=事件B.目的地址。

  • 数据源:IDS、WAF

  • 解决方案:屏蔽该地址对内部服务的访问,确定该事件是否为恶意攻击行为。

告警关联后攻击成功相关场景

▼▼场景七:SQL注入攻击后发生数据库提权

  • 场景描述:通过SQL注入攻击后发生数据库提权告警,判定SQL注入攻击已经成功。

  • 分析方法:web服务器发生SQL注入攻击告警后,特定时间内(如5分钟),发生数据库提权事件。

  • 数据源:IPS、IDS、WAF

  • 解决方案:屏蔽该地址对内部服务的访问,SQL注入攻击是否成功。
▼▼场景八:web后台登陆异常后被注入webshell
  • 场景描述:通过web后台登陆异常后被注入webshell,判定web攻击已经成功。

  • 分析方法:特定时间内(如10分钟),同一源地址对同一web服务后台登陆异常后,被植入webshell。

  • 数据源:中间件日志、WAF

  • 解决方案:屏蔽该地址对内部服务的访问,同时对发生告警主机进行webshell查杀。

扩展  ·  本文相关链接

· 网络异常相关安全分析场景

· 账号异常相关安全分析场景

· 威胁情报相关的安全分析场景

· 攻击链在大数据安全分析中的应用

(0)

相关推荐

  • 亚马逊防关联的对策

    由于账户关联会导致账户被停,所以我们非常有必要了解导致账户关联的相关因素. 硬件类:电脑,网线IP,路由器,网卡信息,硬盘信息等. 这就要求卖家尽可能使用独立的电脑和网络来运营独立账户,避免在同一台电 ...

  • 【行业译文】僵尸网络攻击预测:实验与结论

    美国国家标准与技术研究所(NIST)<基于流的僵尸网络攻击预测的实证研究>一文提出了一种经验研究僵尸网络攻击预测方法,通过测量C2流量和自动标记使用大规模.真实和长期数据集.上一期刊载了第 ...

  • 账号异常相关安全分析场景

    网络设备.安全设备.操作系统.中间件.应用系统都具有账号,只要有账号就会涉及到异常账号(状态)与账号异常(行为)的安全监控与分析.从风险类型来说,账号异常涉及到内部违规.暴力破解.账号失陷以及程序错误 ...

  • 网络异常相关安全分析场景

    在大数据安全分析里,威胁情报关联(查看文章:威胁情报相关的安全分析场景).账号异常分析(查看文章:账号异常相关安全分析场景)两类效果比较好,除此之外网络异常分析效果也比较好. 网络异常相关安全分析场景 ...

  • 大数据安全分析13:威胁情报相关的安全分析场景

    从安全告警层面来讲,威胁情报数据可以赋能给检测设备,同时也可以作为Context数据辅助安全分析. 从异常检测层面来讲,威胁情报可以结合网络连接等数据,通过关联分析发现特定行为异常与安全风险. 从分析 ...

  • 未经“二审程序”的再审案件的相关法律分析

    导言:在司法实践过程中,时常出现当事人因为某些原因错过了上诉期限,但是由于无法进入二审程序,又不服一审判决,遂向法院提起再审.此时,法院是否会受理再审申请,或者再审法院受理后是否会进入实体审理,本文就 ...

  • 中考名著阅读:从读过的文学作品中任选一个人物,结合相关情节分析其性格的复杂性。(120字左右)

    圆形人物是指文学作品中具有复杂性格特征的人物.如<朝花夕拾>中的长妈妈愚昧无知,又真诚善良.<儒林外史>中的范进渴求功名又虚伪软弱.<水浒传>中的杨志精明能干又粗暴 ...

  • 腰椎相关疼痛分析

    中国疼痛找桑迪 文章仅供参考,不作为临床依据,如有不当之处,请联系我们删除!

  • 高考生物热点:生命活动调节中的相关实验分析与探究

    高考生物热点:生命活动调节中的相关实验分析与探究

  • 中鼎 |【税务热点】预收房款相关税收政策分析

    房地产企业与一般企业的最大区别在于:所开发的产品尚未完工交付之前即可以收取房屋预收款.为了税收均衡入库以及"纳税必要资金"原则,在房地产企业收入或所得尚未确认之前,应当预缴增值税. ...

  • 骨盆相关肌肉分析(1)

    骨盆要稳定,我们就要搞清楚骨盆的相关肌肉,它们之间是怎么影响骨盆的.只有将骨盆相关肌肉搞清楚了,我们才能够让玩转骨盆,让骨盆稳定下来. 骨盆要能正常地 旋前,旋后的活动,就需要它们相关肌肉配合协同来完 ...