内网攻击莫忽视
内网攻击告警需格外谨慎,可能是进行内网渗透。
- 攻击IP是内网IP,攻击行为不定,主要包括:扫描探测行为、爆破行为、命令执行等漏扫行为。
- 资产属性-内网攻击IP资产属性。
- 研判告警行为是否为攻击动作,如弱口令、SQL注入漏洞可能是业务行为。
- 上级排查与客户一起进一步确认设备问题。
企图告警需排查
企图类告警需格外谨慎,可能是“已经成功”。
- 告警主要包括:后门程序、代码行为、命令执行行为。
- 资产属性+流量确认。
- 综合判断告警是否成功(成功的话就需要提供证据给规则反馈)。
- 上级排查与客户一起进一步确认设备问题。
爆破行为也要看
爆破攻击告警需格外谨慎,可能是“正在进行时”。
- 告警主要包括:客户对外端口的服务对外开放。
- 资产属性+流量确认。
- 综合判断业务是否对外开放(及时确认是否需要规避风险点)。
成功失陷追仔细
成功失陷追仔细,可能是”溯源不够细致,遗漏蛛丝马迹“。
- 告警主要包括:成功+失陷的告警。
- 资产属性+流量确认+告警确认+数据分析+兄弟产品跟进。
- 协助客户上机排查,书写溯源报告。