安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.77
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","配置风险")}}

配置风险

更新时间:2023-05-25

SIP安全感知平台可对风险端口与配置不当两大类配置风险进行识别,帮助管理员及时发现并妥善处理。

6.3.5.1.风险端口

风险端口是服务对外网开放的可进行远程登录或远程文件传递的端口,如开放的端口对应服务存在弱口令,容易被不法分子爆破登录成功直接控制服务器,造成数据的丢失或服务器破坏;同时,不法分子控制服务器后,可进一步对内网其他主机进行渗透攻击。

风险端口识别与处置标记

[配置风险/风险端口]页面下,管理员可查看识别到的风险端口信息,主要包括所属资产组织、协议与端口、确定性、流入/流出流量、外网源IP TOP3等信息;同时,支持管理员通过重要级别、确定性、时间范围及资产组织等信息进行筛选与关键字查询,并可对已完成处置的时间进行“处理状态标记”,如下图所示。

其中:

服务器:存在配置风险的服务器IP地址;

协议与端口:被检测出来的风险端口;

确定性:存在风险端口的确定程度,包括高可信、中可信及低可信等级别;

流入/流出流量:检测到的流量大小;

外网源IP TOP3互联网IP访问该风险端口最多的3IP

处理状态:当前若已经处置,可以标记处理,如无需处置,可以加入白名单;

操作:点击查看日志,可以跳转到[原始日志]页面进行查看。

同时,支持管理员通过点击<导出>进行风险端口识别列表的导出操作。

处置建议

建议关闭非业务必须的可进行远程登录或远程文件传递的端口;

如需要开启,建议关闭对外网的访问权限;

如需对外开放,严格设置账号权限,加强密码复杂度,定期更换密码;

如有防火墙,建议对服务器开启爆破防护。

6.3.5.2. 配置不当

配置不当是指在使用各类服务应用时,使用了默认配置或不被推荐的配置。配置不当一般是人员操作失误导致,可能导致服务器性能下降、网络安全事件和敏感数据泄露,泄露的敏感数据容易被不法分子进一步利用进行渗透攻击。

配置不当识别与处置标记

[配置风险/配置不当]页面下,管理员可查看识别到的不当配置的检测信息,主要包括所属资产组织、配置不当类型、确定性、风险等级、最近发现时间及处理状态等信息;同时,支持管理员通过重要级别、确定性、时间范围及资产组织等信息进行筛选与关键字查询,并可对已完成处置的时间进行“处理状态”,如下图所示。

其中:

服务器:存在配置风险的服务器IP地址;

配置不当类型:被检测出来的不当配置所属类型;

确定性:存在不当配置的确定程度,包括高可信、中可信及低可信等级别;

风险等级:不当配置的风险等级,包括高危、中危及低危等级别;

处理状态:当前若已经处置,可以标记处理,如无需处置,可以加入白名单。

同时,支持管理员通过点击<导出>进行风险端口识别列表的导出操作。

处置建议

建议关闭线上服务器输出到客户端的调试信息;

严格控制用户访问权限,设置指定目录可访问;

关闭非业务必须的端口或功能。