1.分析思路
正向分析——根據已有的高危、嚴重、中危、低危規則分析目前的規則制定的資訊是否有效,本質上屬於功能測試
黑盒分析——從爆出的告警日誌分析,分析具體的攻擊行為,根據產品具體日誌資訊,檢視資料報內容,確定是誤報。
正向分析出現的問題,已經做完功能測試,每條規則本身是生效的,那麼存在問題,應該歸為bug。攻擊測試,本身規則不夠,需要分析日誌在規則中有沒有攔截。。
黑盒分析——產品為其他安全廠家的,其他安全廠家本身就是誤報的日誌,態勢感知在這個基礎上分析,仍然是誤報。
2.分析情況
1、同一ip對目標使用多種攻擊手段 5
2、檢測到病毒郵件 5條
3、檢測到內網主機掃瞄行為 10條
4、檢測到使用者收取了病毒郵件 10條
5、同一ip對目標使用多種攻擊手段 10條
6、web網頁掃瞄後,發生web伺服器漏洞攻擊1 2條 thinkphp框架執行任意**漏洞
7、web登入時使用了弱口令 6條
8、檢測到內網可疑445埠掃瞄行為 5條
9、webshell上傳攻擊 3條
10、同一ip對同一目標在掃瞄後嘗試多種攻擊 5條
11、檢測到可疑命令行為 5條
12 、webshell連線攻擊 1條
13、同一ip對同一目標掃瞄後嘗試sql注入並同時嘗試其他攻擊 3條
每種型別根據實際告警情況選取一定條數共80條分析,誤報9條。該誤報值跟選取樣本有關係,存在偏差。
3.分析結果
每種型別根據實際告警情況選取一定條數共80條分析,誤報9條。該誤報值跟選取樣本有關係,存在偏差。
安全態勢感知
態勢感知的基礎是對報警和元資料的收集,為達到 全方位全天候 的目標,需要在流量 內容 終端三個方面,利用實時資料和歷史資料進行檢測。但單純報警的視覺化展示並不是真正的 態 要呈現當前的 態 需要針對報警或者異常,進行誤報甄別 定性分析 識別定向型攻擊或是隨機性攻擊 了解攻擊的影響範圍和危害 確定緩解...
cis 華為態勢感知 安全態勢感知
什麼是態勢感知 定義 ssa securitysituation awareness 即安全態勢感知,可以幫助使用者理解並分析其安全態勢,其通過使用者安全態勢 攻擊者態勢兩個維度,增強使用者從海量的資訊中發現有用資料的能力,幫助使用者準確理解過去一周發生的每一件安全事件,並為使用者進行安全態勢 提供...
關於「態勢感知」產品活動體驗
體驗活動感受 態勢感知 幫助我們擴大安全可見性,集中管理雲上資產安全事件。今天有幸體驗了阿里開發的 態勢感知 產品,我作為乙個學生而言,感觸很深 首先我作為乙個剛剛接觸it行業的學生來說,有幸體驗阿里開發的高科技產品,我深感榮幸。其次,此次活動開拓了我的視野,因為網際網路安全問題是每乙個人都會考慮的...