更新时间:2023-05-25
违规访问主要指匹配到探针违规访问策略黑名单或违反白名单的访问行为,或违反下一代防火墙中应用控制策略的行为。当主机频繁发生违规访问时,说明该主机可能被黑客控制,或为内网用户的违规操作。SIP平台在[分析中心/异常行为分析/违规访问]页面,为管理员展示违规访问整体情况,并指引进行具体分析与对应处置。
整体展示
在[异常行为分析/违规访问]页面下,管理员可总览以下整体数据:
• 存在横向违规访问的主机及其中的服务器数量,违反策略概述;
• 违规访问趋势:记录一段时间中每天发生违规访问的次数;
• 危害和处理建议:包括危害描述及安全建议,点击<查看更多>可查看完整建议。
同时,页面支持通过最近7天、最近30天、今天以及最近24小时进行数据统计,同时,可点击<更多筛选>,对“时间段”进行自定义,页面如下图所示。
管理员点击页面左上角的<导出>可将所有的违规访问导出为excel表格进行查看。
详情分析
在[异常行为分析/违规访问]页签下,管理员可对“违规访问者”和“内部目标”进行分类查看。
- 违规访问者
管理员在[违规访问者]页面,可查看违规访问者IP/类型(服务器/终端)、所属资产组织、内部目标数(即违规访问的主机数量)/类型(服务器/终端)、违规访问策略TOP3及日志数信息,如下图所示。
并可通过“全部”、“服务器/终端访问服务器”、“终端/服务器访问终端”进行筛选,或通过右侧搜索框直接搜索需要查询的IP地址/资产组织,勾选“仅显示核心服务器”,则列表只显示核心服务器的详细信息。
• 说明:
违规访问策略需事先在探针上进行配置,配置方式请查看STA安全策略配置部分。
管理员点击具体的违规访问者IP或者内部目标数,可跳转至相应的[分析中心/潜伏威胁黄金眼/访问关系]页面进一步展示详细信息,如下图所示。
管理员点击具体的违规访问策略TOP3或者日志数,可跳转至相应的[分析中心/日志检索]自动筛选对应日志,如下图所示。
- 内部目标
管理员在[内部目标]页面,可查看内部目标IP/类型、所属资产组织、违规访问策略TOP3及日志数信息,如下图所示。
并可通过全部、服务器、终端进行筛选,支持通过IP/资产组织进行搜索筛选;如果勾选“仅显示核心服务器”,则列表只展示核心服务器的数据详情。
管理员点击具体的内部目标IP/违规访问者数量,可跳转至相应的[分析中心/潜伏威胁黄金眼/访问关系]页面进一步展示详细信息,如下图所示。
管理员点击具体的违规访问策略TOP3/日志数,可跳转至相应的[分析中心/日志检索]自动筛选对应日志,如下图所示。