安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.77
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","残余攻击")}}

残余攻击

更新时间:2023-05-25

残余攻击是指部署在防御体系之后的探针所检测到的攻击,存在此类攻击,说明相应防御设备的防御能力需要升级,或者防护策略有疏漏,需要进一步加固。SIP平台可通过部署在防火墙后的探针进行残余攻击检测与分析。

探针定义

为保障残余攻击分析精准,需手动定义部署在防火墙后的探针。当该探针检测到的外网攻击行为时,则攻击行为即为残余攻击。管理员可在[分析中心/威胁专项分析/残余攻击]页面,点击<配置探针>进行防火墙之后的探针配置。

整体展示

[威胁专项分析/残余攻击]页签下,管理员可查看以下TOP5数据:

遭受攻击最多的服务器TOP5遭受到残余攻击最多的排名服务器前五;

攻击源TOP5可点击<更多>查看全部攻击来源,并支持数据导出;

攻击源地区TOP5发起攻击最多的国家或地区排名前五

攻击类型TOP5可点击<更多>查看攻击类型对应的受害者IP等详细信息,并支持数据导出。

同时,页面支持通过最近7天、最近30天、今天以及最近24小时进行数据统计,同时,可点击<更多筛选>,对[攻击者所属地][攻击类型]进行筛选,页面如下图所示。

管理员点击页面左上角的<导出>可将所有的残余攻击导出为excel表格进行查看。

详情分析

[威胁专项分析/残余攻击]页签下,管理员可查看攻击详情,主要包括攻击者IP、攻击者所属地、检测设备、受害者、受害者所属资产组织、域名、攻击类型、攻击时间及日志数等详细信息,支持通过“资产组织”及“关键字”进行检索,如下图所示。

点击<攻击者IP>会跳转至[潜伏威胁黄金眼]页面,展示该IP的风险情况,如下图所示。

点击<攻击类型><日志数>会跳转至[分析中心/日志检索]页面,展示该攻击类型的详细日志信息,如下图所示。

危害和处理建议

[威胁专项分析/残余攻击]页签下,管理员可查看残余攻击的“危害和处理建议”,点击<查看更多>可查看完整建议,如下图所示。