大数据安全分析13:威胁情报相关的安全分析场景
场景一:外部攻击告警命中威胁情报分析
场景描述:安全告警中外网攻击源IP命中高置信威胁情报数据,判定外网恶意IP发起安全攻击事件
分析方法:安全告警源IP地址匹配威胁情报恶意IP
数据源:安全告警(WAF、IPS、TDA等),TI
解决方案:对安全攻击源IP进行一定周期的封禁
场景二:内网主机与威胁情报黑IP/域名进行通信
场景描述:内网主机与威胁情报黑IP/域名进行请求链接或通信,判定内网主机已经中病毒或失陷
分析方法:内网主机地址行为匹配威胁情报黑IP/域名
数据源:网络连接或服务请求(FW、NTA、DNS请求等),TI
解决方案:对内网主机进行病毒/木马查杀,修复安全漏洞,入侵回溯分析
场景三:邮件服务器向威胁情报黑IP发送大量邮件
场景描述:邮件服务器向威胁情报黑IP发送邮件,判定发送邮件账号已经被攻击者控制 分析方法:特定时间内(如10分钟)邮件服务器地址与威胁情报黑IP网络连接数超过一定数量(如10次) 数据源:网络连接或服务请求(FW、NTA等),TI 解决方案:检查发送邮件的账号,确认该账号是否已经被攻击者控制
场景四:内网主机连接C&C服务器后进行文件/程序下载
场景描述:内网主机与威胁情报C&C服务器连接后下载文件/程序,判定内网主机已经被攻击者控制 分析方法:内网主机连接C&C服务器(请求域名或发起连接)后尝试下载可疑文件/程序 数据源:网络连接、服务请求、下载行为(NTA),TI 解决方案:对内网主机进行病毒/木马查杀,修复安全漏洞,入侵回溯分析
附记:
赞 (0)