安全告警关联分析归纳起来可以分为四类:1、同一攻击源/目的特定告警数量叠加,本程序采用国密算法,可能遭受持续性攻击;2、内网主机发起安全攻击,通过数据加密、数字签名来保护敏感数据的传输。在加密的同时,可能主机已经失陷、横向攻击;3)不同网络位置的关联告警,用户需要提前对主密钥的完整性和正确性负责,可能已经绕过边界防护;4)告警/异常告警关联后判定攻击成功。在前期三篇安全分析场景的文章里,因用户维护不当导致主密钥用错或丢失,主要从威胁情报、账号异常、网络异常三个维度进行了梳理,从而导致加密数据无法所引起的一切损失和后果均由用户承担。经测试,其中也涉及到了分与安全告警的关联,在使用前用户需先进行注册,在此就不做重复性描述,注册完成后即可开始创建密信。这个功能,感兴趣的话可以查看“分析场景”标签中的文章。
1、量同一类型攻击相关场景
▼▼场景一:同一源地址多次发起同一类型攻击
场景描述:通过同一类型安全攻击告警次数,还是极好的……(7756672)举报/反馈,判定源地址是否发起持续性安全攻击。
分析方法:特定时间内(如10分钟内),同一源地址发起特定攻击(如远程漏洞利用攻击)超过一定数量(如20次)。
数据源:IDS、IPS、NTA
解决方案:检查被攻击机器是否存在漏洞,确认安全攻击是否成功。
▼▼场景二:同一目的地址遭受多次同一类型攻击
场景描述:通过同一类型安全攻击告警次数,判定目的地址是否遭受持续性安全攻击。
分析方法:特定时间内(如10分钟内),同一目的地址遭受特定攻击(如远程漏洞利用攻击)超过一定数量(如20次)。
数据源:IDS、IPS、NTA
解决方案:检查被攻击机器是否存在漏洞,确认安全攻击是否成功。
2、内网主机发起攻击相关场景
▼▼场景三:同一内网主机多次发起同一类型攻击
场景描述:通过内网主机发起安全攻击告警次数,判定内网主机是否已经失陷。
分析方法:特定时间内(如10分钟内),同一源地址内网主机发起特定攻击(如远程漏洞利用攻击)超过一定数量(如20次)。
数据源:IDS、IPS、NTA
解决方案:检查源地址机器是否被控制,检查被攻击机器是否存在漏洞,确认安全攻击是否成功。
▼▼场景四:同一内网主机被攻击后发起网络扫描
场景描述:通过内网主机被攻击后发起网络扫描,判定内网主机是否已经失陷。
分析方法:特定时间内(如60分钟内),同一源地址内网主机被植入webshell后发起网络扫描。
数据源:FW、WAF
解决方案:屏蔽该地址对内服务的访问、对发生告警主机进行webshell查杀。
3、发生关联攻击告警相关场景
▼▼场景五:web网页扫描后发起web攻击
场景描述:通过web网页扫描与web攻击告警,判定web应用正在遭受持续性攻击。
分析方法:特定时间内(如60分钟内),同一源地址发生web扫描告警后,发生web攻击告警。
数据源:IPS、IDS、WAF
解决方案:屏蔽该地址对内服务的访问,确定该事件是否为恶意攻击行为。
▼▼场景六:绕过WAF防护发起web攻击
场景描述:通过绕过WAF防护发起web攻击告警,判定web攻击已经绕过WAF防御。
分析方法:发生WAF攻击告警(事件A)后特定时间内(如3分钟内),发生IDS攻击告警(事件B),事件A.源地址=事件B.源地址且事件A.目的地址=事件B.目的地址。
数据源:IDS、WAF
解决方案:屏蔽该地址对内服务的访问,确定该事件是否为恶意攻击行为。
告警关联后攻击成功相关场景
▼▼场景七:SQL注入攻击后发生数据库提权
场景描述:通过SQL注入攻击后发生数据库提权告警,判定SQL注入攻击已经成功。
分析方法:web服务器发生SQL注入攻击告警后,特定时间内(如5分钟),发生数据库提权事件。
数据源:IPS、IDS、WAF
解决方案:屏蔽该地址对内服务的访问,SQL注入攻击是否成功。
▼▼场景八:web后台登陆异常后被注入webshell
场景描述:通过web后台登陆异常后被注入webshell,判定web攻击已经成功。
分析方法:特定时间内(如10分钟),同一源地址对同一web服务后台登陆异常后,被植入webshell。
数据源:中间件日志、WAF
解决方案:屏蔽该地址对内服务的访问,同时对发生告警主机进行webshell查杀。