更新时间:2023-05-26
勒索风险分析页面重点对勒索主题的安全告警进行展示和管理,该部分数据主要来源于联动设备EDR和AF,通过流量学习或者终端安全监测发现相关勒索行为特征的流量/进程,少部分数据来自于SIP本身对流量payload的识别和判断,目前根据勒索的攻击方式分为:感染勒索病毒、弱密码、勒索常用端口、勒索常用漏洞、境外IP访问、黑客勒索攻击、RDP爆破、勒索C&C通信。
告警展示
在[勒索风险分析]页面,包括时间选择、联动检测、风险资产、自动响应处置几个部分,其中。
时间选择
下拉可以选择包括最近30天、最近7天、最近24小时、自定义时间(不仅仅限于1个月内,跨度可以自定义),如下图所示。
联动检测
联动检测的数据来源包括SIP自身、EDR、AF,以勒索病毒的感染途径/方式为维度进行分类,包括:勒索C&C通信、感染勒索病毒、弱密码、勒索常用端口、勒索常用漏洞、境外IP访问、黑客勒索攻击、RDP爆破等几个方面,如下图所示。
其中红色的数字代表,所有勒索风险资产通过该方式命中的次数,来源设备正常情况下关联的3个指针正常状态下都是蓝色的且会周期进行扫描,如下图所示。
受害资产
受害资产分为影响服务器个数、影响终端个数两大类,点击每一类可以看到关联的事件列表,如下图所示。
列表中展示的条目是没有聚合的,如果要查看受害者IP,可以在受害者IP一列,点击<>即可看到。
告警查看
列表查看
勒索事件列表包括:威胁描述、勒索风险、攻击阶段、威胁等级、受害者IP、受害资产类型、攻击者IP、攻击次数、处置状态等,如下图所示。
选中某个勒索告警,点击<威胁描述>列的具体名称下钻到<告警详情>页面,分为告警摘要、告警详情、命中规则、原始日志列表、攻击者分析、处置建议等子页面,告警详情包括处置状态、威胁等级、数据来源、命中规则、攻击阶段、基本详情等维度信息,如下图所示。
告警摘要
可以看到告警的处置状态、威胁类型、威胁等级、数据来源、所处的攻击阶段等,如下图所示。
告警详情
展示攻击发起方向、源IP、目的IP、中间代理等、最近一条告警日志详情和对应数据包信息,如下图所示。
命中规则
可以看到该事件关联的规则ID列表,包括规则ID、规则名称、检测引擎、威胁类型、威胁等级、ATT&CK攻击图谱中关联的类别等,如下图所示。
点击“规则ID”值,页面会跳转到[系统设置/安全能力配置/安全告警/事件检测引擎]页面该规则的信息,并再次基础上可以进行规则详情查看或编辑等操作,如下图所示。
原始日志列表
原始日志列表查看告警关联的日志列表,如下图所示。
点击“描述”字段内容可以跳转到该条原始日志信息,提高研判效率,如下图所示。
点击<前往日志检索>会跳转到日志检索页面,自动筛选出该告警关联的日志信息,如下图所示。
攻击者分析
可以查看攻击者IP、地区、次数、同网段攻击者数、受害者IP数、首次攻击时间、最近攻击时间、封锁状态、对攻击者查看威胁情报和攻击者画像,如下图所示。
点击<封锁>或者< >标志,可以选择重保中心配置的AF进行联动封锁,如下图所示。
点击< >可以进行威胁情报或者攻击者画像查看,如下图所示。
点击“同网段攻击者数”或者“受害者IP数”属性列对应的值可以看到同网段的攻击者IP和受害者IP统计,如下图所示。
在安全告警关联的攻击者数目较多的情况下,可以点击以xlsx格式<导出>。
处置建议
基于该告警的原理、风险危害等信息给出排查建议、处置建议和日常维护建议,如下图所示。
告警处置
联动处置
在勒索专项分析页面,点击<>联动处置图标,进入到联动处置导航,可以根据联动处置策略进行处置,如下图所示。
点击<下一步>,选择关联的设备,配置封锁时长等参数,点击<执行>,示例以封锁源IP策略为例,如下图所示。
其中:
• 设备IP:可以看到具体实例名称以及对应的IP地址,默认全选,也可以根据情况手动调整,这些实例都是通过[系统设置/设备管理/联动响应]页面的信息对应。
• 源IP:要封锁的源IP地址,会自动填充;
• 封锁时长:可以下拉天/小时/分钟等不同颗粒度配置;
执行后会弹出<执行成功>提示窗口。
如果需要对联动处置的执行结果进行查看,可以在[处置中心/处置记录]查看相应策略的执行历史,如下图所示。
手工处置
手工处置包括告警批量处置、单个告警处置,下面分别展开说明。
1.批量处置
下拉<批量操作>菜单,也可以根据列表进行选择并批量进行处置,如下图所示。
2. 单个处置
可以在列表中对安全告警,点击< >,进行手工处置,包括:处置中、已处置、挂起、加白四个选项,如下图所示。