安全能力配置包括安全规则库、安全告警/事件检测引擎、白名单、文件检测配置和弱密码配置。
13.1.6.1.安全规则库
安全规则库主要是针对Web应用检测识别库、漏洞利用检测识别库、实时漏洞分析识别库、黑客工具检测识别库、自定义检测识别库进行管理。
展示查询
在[系统设置/安全能力配置/安全规则库]页面,可以根据库类型展开查看对应的规则列表,每条规则信息包括:规则ID、威胁名称、威胁等级、威胁类型、配置时间、状态和编辑操作等,如下如所示。
实际运营过程中,可以根据威胁类型、威胁等级、以及规则ID或者关键字模糊匹配等方便查询,如下图所示。
编辑管理
对于多条规则,可以批量进行状态的切换,如下图所示。
对于单条规则,除了可以进行状态的切换,点击<
>下钻到规则详情页面,还可以修改规则的威胁等级,如下图所示。
定义web应用检测规则
在[系统设置/安全能力配置/安全规则库]页面,点击<新增>下拉选择[自定义web应用检测规则],如下图所示。
其中:
• 状态:默认启用状态;
• 威胁名称:自定义名称;
• 字符串:需要匹配的字符串内容,分为“匹配所有数据”和“匹配URL/Cookie/表单”,输入需要匹配的字符串,支持文本格式和二进制;
• 正则表达式:针对字符串进行字段转换,翻译为正则表达式,点击<正则表达式测试>可以在弹框中对正则表达式和字符串进行格式验证,如下图所示。
• 请求方向:匹配方向包括请求方向、应答方向、双向匹配;
• 威胁等级:规则的威胁等级分为:高威胁、中威胁、低威胁;
• 描述:自定义规则描述;
• 攻击影响:该规则对攻击的影响说明。
字符串和正则表达式不能同时为空。
自定义漏洞检测规则
在[系统设置/安全能力配置/安全规则库]页面,点击<新增>下拉选择[自定义漏洞利用检测规则],如下图所示。
其中:
• 状态:分为启用、禁用状态,默认启用状态;
• 威胁名称:自定义名称;
• 字符串:需要匹配的字符串内容,分为“匹配所有数据”和“匹配URL/Cookie/表单”,输入需要匹配的字符串,支持文本格式和二进制;
• 正则表达式:针对字符串进行字段转换,翻译为正则表达式,点击<正则表达式测试>可以在弹框中对正则表达式和字符串进行格式验证,如下图所示。
• 请求方向:匹配方向包括请求方向、应答方向;
• 协议:需指定规则对应的协议,TCP还是UDP;
• 端口:填写规则关联的端口,支持单个端口。
• 威胁等级:规则的威胁等级分为:高威胁、中威胁、低威胁;
• 描述:自定义规则描述;
• 攻击影响:该规则对攻击的影响说明。
字符串和正则表达式不能同时为空。
13.1.6.2.安全告警/事件检测引擎
安全事件/告警检测引擎主要实现对包括:情报检测引擎、文件分析引擎、攻击行为分析引擎、异常行为引擎,进行编辑、展示查询、新增等操作。
展示查询
在[系统设置/安全能力配置/安全告警检测引擎]页面,各检测引擎标识规则总数、引擎简介,将鼠标放置在<简介>位置可以看到具体内容,每条引擎规则在列表中的属性包括:告警ID、事件ID、威胁名称、威胁等级、威胁类型、配置时间、状态、生安全告警/事件的关联关系、操作等,如下图所示。
其中:
• 告警ID:在安全告警详情页面可以看到,多是2开头的ID数字串;
• 事件ID:在安全事件详情页面可以看到,多是1开头的ID数字串;
• 威胁等级:分为高威胁、中威胁、低威胁;
• 威胁类型:和处置中心的安全事件和安全告警威胁分类是一致的;
• 安全告警:指该条引擎规则是否生成安全告警,包括“生成”、“不生成”两种结果,由于安全事件是有安全安全告警转换的,当安全告警配置“不生成”时,安全事件列也会关联变为“不生成”。
• 安全事件:指该条引擎规则是否生成安全事件,包括“生成”、“不生成”两种结果。
• 状态:可以手动修改每条规则的状态,“
”代表启用状态,“
”代表禁用状态;
在规则列表部分,可以根据威胁类型、威胁等级进行分类展示,也可以根据关键字/引擎规则ID对进行模糊检索,如下图所示。
在规则列表中,可以点击每一个规则的“
”可以对规则进行编辑。
编辑管理
在[系统设置/安全能力配置/安全告警检测引擎]页面,选中一条或多条规则点击<启用>、<禁用>、<恢复默认配置>可以批量启用/禁用/恢复默认配置,如下图所示。
点击进入到规则详情页面,包括:当前状态、告警ID、事件ID、安全告警、安全事件、威胁名称、威胁类型、威胁描述、攻击影响、威胁等级等,可以自定义该引擎规则是否成安全事件、是否生成安全告警,如下图所示。
可以手动下拉选择调整威胁等级,如下图所示。
其中,在“异常行为引擎”分类中,可以对常见的扫描、爆破等行为可以根据实际情况自定义阈值,示例如下图所示。
目前支持可以自定义阈值的列表如附件。
自定义威胁情报
在[系统设置/安全能力配置/安全告警/事件检测引擎]页面,可以自定义威胁情报,如下图所示。
在在[系统设置/安全能力配置/安全告警/事件检测引擎]页面,自定义威胁情报库子类中,管理员可点击<新增>或<导入>进行威胁情报创建,包括:事件标签、所处阶段、匹配条件、确定性等级、威胁等级、事件类型。管理员可通过编辑事件标签、所处阶段及检测项进行威胁情报新增,可选项(高级选型)包括确定性等级、威胁等级、事件等级、危害描述及处理建议,新增界面如下图所示。
其中:
• 安全告警:该情报是否生成安全告警;
• 安全事件:该情报是否生成安全事件;
• 情报类型:包括域名、IP、URL、文件MD5;
• 威胁类型:为情报选择所属的威胁类型;
• 威胁等级:包括高威胁、中威胁、低威胁;
• 情报来源:备注情报来源。
威胁情报导入
管理员可点击<导入/下载示例文件>进行模板下载,并通过对csv/stix2模板文件进行编辑与导入操作,实现批量威胁情报导入,如下图所示。
威胁情报管理
管理员可单选/多选已有威胁情报并点击对应按钮,进行单个/批量启用、禁用及删除操作,可以通过右上角的搜索栏进行精确检索,情报状态可在最右侧状态栏标识进行查看,同时,点击状态的“
”,也可以禁用/启用规则,支持威胁情报导出操作,如下图所示。
13.1.6.3.白名单
白名单功能属于安全感知平台基础且高频使用的功能,在实际运营过程中,网络内部像DNS服务器、漏扫设备等特殊设备,避免报失陷一般都需要添加到白名单。白名单包括安全白名单和审计白名单,流量先经匹配审计白名单,再匹配安全白名单,没有命中白名单的最后经过分析才会生成各类业务层面威胁数据,处理流程如下图所示。
其中:
• 审计白名单:相当于流量到日志层面的过滤器,匹配到审计白名单的流量将不会产生日志;
• 安全白名单:相当于日志到告警层面的过滤器,匹配到安全白名单的日志,不再生成后续对应的告警、事件,如下图所示。
• 分析:生成安全告警/安全事件/实现主机等威胁数据。
安全白名单适用于在日志层面上对安全告警或者脆弱性告警进行加白的场景,一旦加白后,该白名单命中的日志不会生成告警,监控中心、处置中心、分析中心等模块不再展示该告警。
1、安全告警白名单
在日常使用时,通过处置中心、分析中心、重保中心等模块,对安全告警都可以直接点击<加白>,可直接跳转到白名单配置页面,示例如下图所示。
也可以在[系统设置/安全能力配置/白名单]页面手动新增,点击<安全白名单>,选择[安全告警白名单]子页签,点击<新增>进入到新增安全白名单页面,包括:告警类型、规则ID、源目IP、源目所属、生效设备、生效时间等维度,白名单的维度之间属于“且”的关系,即多个条件之间都需要匹配才会生效,如下图所示。
其中:
• 源IP:加入后,以该IP为源的数据将不记录告警;
• 目的IP:加入后,以该IP为目的的数据将不记录告警;
• 域名/URL:加入后,访问该域名/URL的数据将不记录告警;
• 告警类型:匹配到的威胁分类,可以根据实际情况全选或者选中特定的类别,根据类型下拉选择即可。
• 规则ID:匹配到对应的规则ID将不会记录告警,适用于对某威胁分类中的某些具体ID加白,比如SQL注入类攻击包括比较多的规则ID,需要根据实际情况提取加白,但是这里的规则ID不是告警ID,也不是事件ID。示例如下图所示。
日志层面对应的hole_id。
• 生效设备:默认选择全部,也可以下拉选择具体要生效的设备,和产生安全告警的设备来源有关;
• 生效时间:默认为永久生效,也可以手动修改为具体的生效时间范围
在日常使用时,通过处置中心、分析中心、重保中心等模块,对安全告警都可以直接点击<加白>,可直接跳转到白名单配置页面,示例如下图所示。
2、脆弱性检测白名单
脆弱性检测白名单主要是面向[资产中心/脆弱性感知]模块的漏洞、弱密码、web明文传输、配置风险等。这些模块日常使用时如果需要加白,可以直接点击<加入白名单>可跳转到白名单配置页面,添加确认,示例如下图所示。
在[安全能力配置/白名单]页面,手动配置脆弱性检测白名单,点击<新增>进入到新增脆弱性白名单页面,输入IP地址、URL、账号、规则ID、所属资产组、生效模块等信息,点击<确定>,如下图所示。
审计白名单
1、审计白名单支持STA3.0.34及以上版本,当探针对接两个平台时,探针只生效主平台的审计白名单。
2、单条审计白名单多条件组合,命中所有条件后白名单才生效。
审计白名单,主要是通过在STA侧来实现,适用于在流量层面上对日志进行加白处理,加白后的白名单不会产生日志,不像安全白名单,可以通过重保中心、处置中心、分析中心、资产中心等模块自动跳转配置,审计白名单只能在页面手动添加。在[规则配置/白名单]页面,在[审计白名单]子页签下,点击<新增>弹出新增审计白名单对话框,填写源IP、目的IP、源端口、目的端口、日志类型等信息,如下图所示。
在下拉的日志类型列表中,可以根据关键字进行模糊查找,如下图所示。
• 日志类型:匹配到的日志分类,全选代表不记录对应地址的任何类型日志。
除了一条条的新增白名单,还可以对白名单进行批量导入和导出操作,比如在级联场景下全域的白名单可能是各分支白名单的一个并集,进行数量较多情况下的添加或者转移,可以使用导入和导出的功能,如下图所示。
导出
导出的结果是一个.xlsx表格,表格内部为一条条的白名单。
导入
先下载模板文件
对模板表格按照格式说明进行内容补充之后,在进入导入。
在进行白名单单导入的时候,因为白名单的生效和资产范围有关,需要检查待导入的白名单资产范围是否在待导入的平台上,如不在或者不完全对等,需要手工进行修改。
13.1.6.4.文件检测配置
[安全能力配置/文件检测配置]功能页面,对应[分析中心/威胁专项检测/文件威胁分析]功能模块,如下图所示。
管理员可以调整文件检测设置,包括:文件分析的大小(最大不超过20MB)、识别的协议类型、选择的检测引擎等,如下图所示。
其中:
• 协议类型包括:HTTP、FTP、SMB、SMTP、POP3、IMAP,按需选择;
• 检测引擎包括: webshellkiller智能引擎、恶意脚本分析引擎、SAVE智能检测引擎、云端分析引擎;
13.1.6.5.弱密码配置
[安全能力配置/弱密码配置]主要面对[资产中心/脆弱性感知/弱密码]功能模块,如下图所示。
弱密码配置主要包括:“登录入口自定义”、“弱密码自定义”、“WEB登录结果自定义”这三个类规则,满足所有规则即生成脆弱性事件。
登录入口自定义
在[弱密码配置/登录入口自定义]页面,点击<新增>如下图所示。
其中:
• 规则名称:自定义,不限于数字或者字母;
• 规则描述:自定义描述部分;
• 账号字段:请求头或者请求体中账号字段名称,具体可以和web应用运维侧进行确认;
• 密码字段:请求头或者请求体中账号字段名称,具体可以和web应用运维侧进行确认;
点击<查看>可以直观解释,如下图所示。
登录入口自定义之后的弱密码列表,会被STA定期拉取并同步到STA侧[对象定义/自定义规则库/自定义登录规则库]页面,如下图所示。
弱密码自定义
弱密码自定义分为:默认规则和自定义规则,内置规则对所有应用 (web类和非web类)的识别和检测,默认规则默认不可编辑、修改和删除,如下图所示。
点击<新增>按钮,进入到自定义弱密码规则选项,自定义弱密码规则主要面向web类应用,需要指定生效域名、规则配置、账号白名单、密码白名单、自定义弱密码等内容,如下图所示。
其中:
• 规则名称:自定义弱密码规则名称;
• 生效域名:需说明该规则适用的域名/URL,例如: http://xxx:80/a/b/c?1=1
• 其中,http:// 属于该流量的请求协议,xxx 属于主机地址可以是域名或主机名或IP,:号连接的80属于端口,/a/b/c属于资源路径 ,?号连接的 1=1 属于参数
• 规则需要配置的是域名的内容,可以参考请求流量中的host取值进行配置
• 规则配置:包括密码最小长度、字符种类数和位数、字典序、账号密码相同的情况、web空密码等;
• 账号白名单:假如通过产品侧分析得到的弱密码,不符合客户的业务场景/实际现状,可以自定义白名单,从而不会生成脆弱性事件。
• 弱密码内容:数量少的情况下,可以直接在空白处填写,可支持以txt格式导入,点击<导入文件>,如下图所示。
1、所有自定义弱密码规则,关联的web域名/URL,最大数量不超过50个;
2、优先级顺序:自定义的弱密码规则优先级高于默认规则,先判断匹配自定义规则,在判断匹配默认规则。
WEB登录结果自定义
WEB登录结果分为登陆成功规则和登录失败规则,主要应用在SIP在客户实际网络中识别到的web登陆成功和登录失败信息与业务的真实情况存在偏差,以此来进行手动矫正,主要依据http协议中成功和重定向两类状态码,通过匹配登陆成功的内容、服务器IP地址等进行,如下图所示。
建议使用Chrome浏览器访问!
