在攻击链中,文件威胁是入口点的重要一环,通过病毒文件入侵内网主机、恶意文件在用户主机执行等方式,导致主机被控制或敏感数据被盗。SIP可通过文件威胁分析功能,整体展示文件威胁情况,并可针对具体文件威胁事件进行进一步分析。
使用云沙箱检测功能,需要将SIP放通以下域名:
可以将用户本地的可疑文件通过云沙箱检测功能作为入口,上传到云端做检测分析并把结果在SIP上进行展示,目前支持检测的文件大小,不能超过20MB,支持检测的文件格式如下图所示。
其中检测速度受多方面影响,网速、云端沙箱任务排队、文件类型和内容等方面影响,时间范围在十几秒到几十分钟之间。
点击虚框或者直接将文件拖拽就可弹出上传文件对话框,上传完毕后自动开始检测,检测结束后可以点击<云端沙箱报告>可以看到检测的结果列表,检测的结果可以展示:文件类型、MD5、检测结果(定性包括:恶意、安全、未知)、上传时间、分析时间、检测系统环境、分析状态等结果,如下图所示。
检测结束后,可以点击<查看报告>看到详细的分析信息,如下图所示。
也可以点击<重新分析>,再次执行检测。
在[分析中心/威胁专项分析/文件威胁分析]页面,可以点击<导出>,将文件威胁分析导出列表,可以根据时间范围进行检索,如下图所示。
• 导出:导出格式为excel表格,最多支持10000条导出;
• 时间范围:可以下拉选择“最近30天”、“最近7天”、“今天”;
文件威胁检测配置
点击<文件威胁检测配置>页面自动跳转到[系统设置/规则配置/文件检测配置]页面,如下图所示。
• 文件大小限制:可以设置检测文件的最大限制,最大不超过20MB;
• 来源协议:可过滤探针或沙箱提交文件来源的协议,便于针对性审计。
• 引擎类型:检测引擎可进行自定义选择,目前包括webshellkiller智能引擎、恶意脚本分析引擎、SAVE只能检测引擎、云端分析引擎四类。
在在[分析中心/威胁专项分析/文件威胁分析]页面可以看到时间范围内,查杀统计以查杀文件次数和恶意文件个数两个维度,如下图所示。
文件威胁告警列表展示实时产生的文件类告警包括:威胁描述、威胁类型、攻击阶段、威胁等级、受害者IP、受害资产类型、攻击者IP、攻击次数、结果、处置状态等,其中:
• 威胁类型:包括下载恶意文件、内网传播病毒;
• 威胁等级:分为高威胁、中威胁、低威胁;
• 攻击阶段:匹配威胁对应威胁类型所属的攻击阶段。
如下图所示。
选中某个文件威胁告警,点击<威胁描述>列的具体名称下钻到<告警详情>页面,分为告警摘要、告警详情、命中规则、原始日志列表、攻击者分析、处置建议等子页面,告警详情包括告警摘要、告警详情、命中规则、原始日志列表、处置建议等部分信息,如下图所示。
告警摘要
可以看到告警的处置状态、威胁类型、威胁等级、数据来源、所处的攻击阶段等,如下图所示。
告警详情
展示攻击者IP及端口、受害者IP及端口、文件路径、威胁名称、进程参数、检测引擎等,如下图所示。
命中规则
可以看到该告警关联的规则ID列表,包括规则ID、规则名称、检测引擎、威胁类型、威胁等级、ATT&CK攻击图谱中关联的类别等,如下图所示。
点击“规则ID”值,页面会跳转到[系统设置/安全能力配置/安全告警/事件检测引擎]页面该规则的信息,并再次基础上可以进行规则详情查看或编辑等操作,如下图所示。
原始日志列表
原始日志列表查看告警关联的日志列表,如下图所示。
点击“描述”字段内容可以跳转到该条原始日志信息,提高研判效率,如下图所示。
点击<前往日志检索>会跳转到日志检索页面,自动筛选出该告警关联的日志信息,如下图所示。
处置建议
基于该告警的原理、风险危害等信息给出排查建议、处置建议和日常维护建议,如下图所示。
在文件威胁专项分析页面告警列表,点击<
>联动处置图标,进入到联动处置导航,可以根据响应策略进行处置,如下图所示。
点击<下一步>,选择关联的设备,配置封锁时长等参数,点击<执行>,如下图所示。
点击<下一步>,会根据所选的动作进入到联动处置参数配置阶段,包括:匹配的联动设备选择、动作处置关联的选项等参数,不同策略参数不一样,示例以内置的封锁源IP,如下图所示。
点击<执行>,进行处置动作下发,可以看到页面上方提示<执行成功>,如下图所示。
在[处置中心/处置记录/策略执行历史]页面,可以看到既往的处置历史,包括状态、结果、策略相关的信息等。
手工处置包括告警批量处置、单个告警处置,下面分别展开说明。
1.批量处置
下拉<批量操作>菜单,也可以根据列表进行选择并批量进行处置,如下图所示。
2. 单个处置
选中某个安全告警,点击<
>,进行手工处置,包括:处置中、已处置、挂起、加白四个选项,如下图所示。
建议使用Chrome浏览器访问!
