安全告警关联相关安全分析场景
大量同一类型攻击相关场景
▼▼场景一:同一源地址多次发起同一类型攻击
场景描述:通过同一类型安全攻击告警次数,判定源地址是否发起持续性安全攻击。 分析方法:特定时间内(如10分钟内),同一源地址发起特定攻击(如远程漏洞利用攻击)超过一定数量(如20次)。 数据源:IDS、IPS、NTA 解决方案:检查被攻击机器是否存在漏洞,确认安全攻击是否成功。
场景描述:通过同一类型安全攻击告警次数,判定目的地址是否遭受持续性安全攻击。
分析方法:特定时间内(如10分钟内),同一目的地址遭受特定攻击(如远程漏洞利用攻击)超过一定数量(如20次)。
数据源:IDS、IPS、NTA
解决方案:检查被攻击机器是否存在漏洞,确认安全攻击是否成功。
内网主机发起攻击相关场景
▼▼场景三:同一内网主机多次发起同一类型攻击
场景描述:通过内网主机发起安全攻击告警次数,判定内网主机是否已经失陷。 分析方法:特定时间内(如10分钟内),同一源地址内网主机发起特定攻击(如远程漏洞利用攻击)超过一定数量(如20次)。 数据源:IDS、IPS、NTA 解决方案:检查源地址机器是否被控制,检查被攻击机器是否存在漏洞,确认安全攻击是否成功。
场景描述:通过内网主机被攻击后发起网络扫描,判定内网主机是否已经失陷。
分析方法:特定时间内(如60分钟内),同一源地址内网主机被植入webshell后发起网络扫描。
数据源:FW、WAF
解决方案:屏蔽该地址对内部服务的访问、对发生告警主机进行webshell查杀。
发生关联攻击告警相关场景
▼▼场景五:web网页扫描后发起web攻击
场景描述:通过web网页扫描与web攻击告警,判定web应用正在遭受持续性攻击。
分析方法:特定时间内(如60分钟内),同一源地址发生web扫描告警后,发生web攻击告警。
数据源:IPS、IDS、WAF
解决方案:屏蔽该地址对内部服务的访问,确定该事件是否为恶意攻击行为。
场景描述:通过绕过WAF防护发起web攻击告警,判定web攻击已经绕过WAF防御。
分析方法:发生WAF攻击告警(事件A)后特定时间内(如3分钟内),发生IDS攻击告警(事件B),事件A.源地址=事件B.源地址且事件A.目的地址=事件B.目的地址。
数据源:IDS、WAF
解决方案:屏蔽该地址对内部服务的访问,确定该事件是否为恶意攻击行为。
告警关联后攻击成功相关场景
▼▼场景七:SQL注入攻击后发生数据库提权
场景描述:通过SQL注入攻击后发生数据库提权告警,判定SQL注入攻击已经成功。
分析方法:web服务器发生SQL注入攻击告警后,特定时间内(如5分钟),发生数据库提权事件。
数据源:IPS、IDS、WAF
解决方案:屏蔽该地址对内部服务的访问,SQL注入攻击是否成功。
场景描述:通过web后台登陆异常后被注入webshell,判定web攻击已经成功。
分析方法:特定时间内(如10分钟),同一源地址对同一web服务后台登陆异常后,被植入webshell。
数据源:中间件日志、WAF
解决方案:屏蔽该地址对内部服务的访问,同时对发生告警主机进行webshell查杀。
扩展 · 本文相关链接