安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.77
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","横向风险访问")}}

横向风险访问

更新时间:2023-05-25

横向攻击主要指内网主机对内部其他主机的攻击行为,该主机可能被黑客控制沦为跳板机,企图控制更多的内网其他主机,或为内网用户的恶意行为,对客户的内网安全影响较大。SIP平台在[分析中心/异常行为分析/横向风险访问]页面,为管理员展示横向攻击整体情况,并指引进行具体分析与对应处置。

整体展示

[分析中心/异常行为分析/横向风险访问]页面下,管理员可总览以下整体数据:

存在横向攻击行为的主机及其中的服务器数量、遭受横向攻击的服务器数量;

内部攻击趋势:记录一段时间中每天发生内部攻击的次数;

危害和处理建议:包括危害描述及安全建议,点击<查看更多>可查看完整建议。

同时,页面支持通过最近7天、最近30天、今天以及最近24小时进行数据统计,同时,可点击<更多筛选>,对“时间段”自定义及“攻击类型”筛选,页面如下图所示。

管理员点击页面左上角的<导出>可将所有的横向攻击导出为excel表格进行查看。

详情分析

[异常行为分析/横向风险访问]页签下,管理员可对“风险访问者”和“内部目标”进行分类查看。

  1. 风险访问者

管理员在[风险访问者]页面,可查看攻击者IP/类型(服务器/终端)、所属资产组织、横向威胁类型、受害者数、受害者类型、攻击类型TOP3及日志数信息,如下图所示。

可通过“全部”、“服务器/终端攻击服务器”、“终端/服务器攻击终端”进行筛选,或通过右侧搜索框直接搜索需要查询的IP地址/资产组织。

管理员点击具体的风险访问者IP,可跳转至相应的[潜伏威胁黄金眼]页面进一步展示详细信息,如下图所示。

管理员点击具体的风险访问类型TOP3对应的日志数,可跳转至相应的[分析中心/日志检索]页面,自动筛选对应日志,如下图所示。

  1. 内部目标

管理员在[内部目标]页面,可查看受害者IP/类型(服务器/终端)、所属资产组织、内部攻击者数、攻击类型TOP3及日志数信息,如下图所示。

内部受害者可以通过全部、服务器、终端进行筛选,勾选“仅显示核心服务器”,可在列表中只展示核心服务器的详情;同时支持IP/资产组织的搜索。

管理员点击具体的受害者IP/内部攻击者数,可跳转至相应的[潜伏威胁黄金眼]页面进一步展示详细信息,如下图所示。

管理员点击具体的攻击类型TOP3/日志数,可跳转至相应的[分析中心/日志检索/安全检测日志]自动筛选对应日志,如下图所示。