1、清静事务预警
最近�,�,,,�,�,�,泰合北斗效劳团队在某能源企业内网安排的918博天堂泰合清静治理平台上又双叒叕发明“Wannacry病毒”活动的踪迹�。�。�。�。�。从“Wannacry病毒”事务爆发至今已时隔3个多月�,�,,,�,�,�,泛起这条告警信息�,�,,,�,�,�,对大部分用户来说也许不是一个新鲜事�,�,,,�,�,�,但在某能源企业内网中泛起该事务�,�,,,�,�,�,那绝对是值得关注的事情�。�。�。�。�。“Wannacry病毒”一爆发之前�,�,,,�,�,�,早在今年4月16日�,�,,,�,�,�,泰合北斗效劳团队就宣布了《918博天堂泰合清静治理平台针对最新NSA黑客工具走漏事务的应急处置惩罚指引》
(http://mp.weixin.qq.com/s/QoHUyoLw_osVEgPkk17MQQ)�,�,,,�,�,�,先容了NSA工具集和受影响的Windows系统版本�,�,,,�,�,�,以及可被恶意攻击者使用SMB、RDP、IIS等效劳误差举行攻击的行为和需要接纳的提防步伐�。�。�。�。�。泰合北斗效劳团队也在清静治理平台上设置了针对该病毒事务的监测剖析预警规则�,�,,,�,�,�,对种种日志举行实时监控与剖析�。�。�。�。�。
2、清静事务发明
前不久�,�,,,�,�,�,某能源企业用户收到了918博天堂泰合清静治理平台爆发的 “L3_MC_永恒之蓝蠕虫病毒毗连”告警信息�。�。�。�。�。
3、安管平台事务剖析历程
那么918博天堂泰合清静治理平台是怎样准确发明内网中有永恒之蓝“Wannacry”病毒活动事务并实时举行预警的呢???�??
泰合清静治理平台的焦点功效是网络用户营业情形中种种装备的清静日志�,�,,,�,�,�,在收罗层对日志举行过滤、合并、范式化、补全等一系列ETL数据处置惩罚历程�,�,,,�,�,�,对日志数据举行降噪�,�,,,�,�,�,保存有用数据�;�;�;�;然后在平台剖析处置惩罚层举行自动化、智能化的关联剖析�,�,,,�,�,�,发明真实的清静威胁�,�,,,�,�,�,并协助运维职员对清静告警举行处置惩罚�。�。�。�。�。
1)清静日志的收罗
用户在网络情形中构建了纵深的清静防御系统�,�,,,�,�,�,包括入侵防护系统(IPS)、抗拒绝效劳攻击、WEB应用防火墙(WAF)和状态检测防火墙�。�。�。�。�。泰合清静治理平台网络了用户网络情形中主要营业效劳器、焦点网络装备、所有清静装备和主要应用系统的清静相关的日志数据�。�。�。�。�。
2)清静日志ETL处置惩罚
泰合清静治理平台对吸收到的日志举行范式化剖析�,�,,,�,�,�,对原始日志中的主要字段举行提取�,�,,,�,�,�,对日志中缺氨赡要害信息举行了补全�。�。�。�。�。
◆ 对原始日志内容举行提�。�。�。�。�。憾栽既罩局械脑吹氐恪⒃炊丝凇⒛康牡氐恪⒛康亩丝凇⒛康墓ぞ摺⒉僮鳌⑿Ч⑾煊π畔⒕傩辛颂崛�。�。�。�。�。
◆ 对事务属性举行自动补全:凭证泰合北斗效劳职员对现场营业的相识�,�,,,�,�,�,对日志中没有体现出来的信息举行了补全�,�,,,�,�,�,如对事务分类、报送日志的装备地点、装备类型、装备厂商、装备型号、网络区域、网络位置等日志中缺失的信息在日志范化历程中举行自动补全�。�。�。�。�。
3)事务关联剖析
北斗效劳职员在泰合清静治理平台建设 “L3_MC_永恒之蓝蠕虫病毒毗连”的剖析规则�,�,,,�,�,�,关联规则剖析场景的可视化编辑界面如图所示:
通过日志剖析与补全�,�,,,�,�,�,对日志中的要害信息�,�,,,�,�,�,如“目的地点”和“请求域名”等举行了提取�。�。�。�。�。日志中请求内容为www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com�,�,,,�,�,�,请求的域名与已界说的恶意域名中的情报内容匹配�,�,,,�,�,�,目的地点为104.17.39.137�,�,,,�,�,�,与已界说“永恒之蓝IP”的威胁情报内容匹配(现在泰合产品本部已与天涯友盟建设相助同伴关系�,�,,,�,�,�,泰合清静治理平台3.0版本可以自动从天涯友盟获取恶意IP、URL、域名、Mail等情报信息�,�,,,�,�,�,大大提升了清静事务剖析的精准度)�。�。�。�。�。
4)事务追溯与统计
在清静治理平台上可快速对触发告警原始日志举行追溯�,�,,,�,�,�,对受熏染装备举行盘问统计�。�。�。�。�。
4、告警响应与处置惩罚
收罗到的日志经由ETL处置惩罚后�,�,,,�,�,�,将事务流转发至清静治理平台内存中举行实时剖析�,�,,,�,�,�,当事务条件匹配关联规则�,�,,,�,�,�,就会触发对应的告警�。�。�。�。�。告警包括告警名称、告警品级及告警的详细形貌等要害信息�。�。�。�。�。凭证用户的运维治理制度要求�,�,,,�,�,�,在清静治理平台爆发的告警�,�,,,�,�,�,需要凭证告警的品级凭证告警处置惩罚流程举行排查和处置惩罚�,�,,,�,�,�,并在平台上跟踪处置惩罚进度�。�。�。�。�。
本案例中�,�,,,�,�,�,针对平台爆发的“L3_MC_永恒之蓝蠕虫病毒毗连”告警�,�,,,�,�,�,泰合北斗效劳职员建议用户凭证918博天堂官方的处置惩罚计划举行解决:
1、连忙隔离已熏染病毒的主机�,�,,,�,�,�,使用专门的检测工具举行病毒查杀�。�。�。�。�。
2、对全网主机举行补丁检查�,�,,,�,�,�,周全升级系统补丁�。�。�。�。�。
3、为避免某些内网主机无法会见互联网而造成病毒撒播�,�,,,�,�,�,可在内网的DNS效劳器上手工新增主机纪录�,�,,,�,�,�,将域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com指向内网IP�。�。�。�。�。
(泉源:918博天堂)
京公网安备11010802024551号