更新时间:2022-06-17
业务风险汇总是从业务角度进行安全展示。可以查看到业务是否存在被攻击或者看到潜在的风险。如下图所示。
关于风险等级说明,可以参考如下表。
风险等级说明表
风险等级 |
说明 |
已被入侵 |
已有数据证明服务器已被黑,如被挂webshell、黑链等。 |
曾被攻击 |
无数据证明服务器被黑,会存在被攻击的证据:包括SQL注入、暴力破解、webshell上传等攻击类型的日志。 |
曾被收集信息 |
无数据证明服务器被黑,会记录被搜集信息的证据。 |
存在漏洞 |
无数据证明服务器被黑,无被攻击记录,说明服务器本身存在漏洞。 |
关键风险类型包含:监管通报、敏感信息泄露、公众形象受损,高中低危漏洞。漏洞统计是基于实时漏洞分析的结果进行统计。
勾选仅显示核心业务,可只关注核心业务的安全状况。如下图所示。
点击<过滤>,可根据综合风险等级和漏洞等级进行筛选。如下图所示。
点击业务名称即可进入安全详情,跳转后如下。
如图,上半部分是业务风险的总览,详情项包括:该业务当前所遭受的危害,造成该危害的具体事件类型(Webshell文件访问、Webshell后门、僵尸网络活动、内部漏洞、外部攻击等)。
所处阶段:已被入侵;影响的服务器,解决建议,以及举证。
案例配置
某企业中,AF产生了较多业务风险告警提示,需要排查具体的业务是否存在对应的风险信息。
操作步骤:
点击<业务安全>,查看具体哪些业务存在风险,如果为已被入侵,则需要重点关注业务的情况,如下图所示。
点击业务名称,进入查看该业务的具体情况,如下图所示。
查看对应的事件,并点击<日志>,对具体的检测日志进行分析和判断,确认事件是不是正常的访问行为,如下图所示。
根据日志分析和判断之后,如果为误报,可以添加例外,后续就不会产生对应得告警。