| 运维项 |
运维任务说明 |
| 系统健康检查 |
对平台进行系统检测操作,并对告警项进行处置。 |
| 规则库更新检查 |
对SIP及STA规则库、安全分析引擎、SIEM日志范式化引擎等库版本进行检查,确保已为最新版本,对升级异常情况进行处置 |
| 系统数据备份检查 |
检查数据备份策略是否正常,如最近备份时间与策略状态等。 |
| 威胁处置 |
高危攻击处置:针对外部的高危性攻击威胁进行及时处理。 |
| 成功的事中攻击处置:针对成功的事中攻击事件进行分析和处理。 |
| 外部风险访问处置:可以检查外部风险整体情况,对风险进行分析以及及时处置。 |
| 违规访问处置:可以检查内部违规访问策略黑名单、白名单或控制策略等行为,进行具体分析和及时处理。 |
| 可疑行为处置:可以检查主机对内部其他主机发起的如网站扫描等可疑行为,进行具体的分析和及时处理。 |
| 风险访问处置:可以检查风险访问的整体情况,并对事件进行分析和及时处理。 |
| 外联威胁处置 |
对外攻击处置:可以检测内网主机对外网发起的攻击,并对改主机进行分析和及时处理。 |
| APT C&C异常连接:可以检测威胁的整体情况,并进行具体分析与应对处置,避免造成重要信息的泄漏。 |
| 异常访问处置 |
横向访问处置:检测服务器流量排行及最活跃的源主机分析,进行日志分析和应对处置。 |
| 外连访问处置:检查外联访问关系,分析日志详情和及时处理异常事件。 |
| 外对内异常流量分析:检查对外网开放的业务流量情况,并对异常流量进行分析和及时处理。 |
| 可疑DNS分析:检查对内网主机访问各类域名的情况,并对访问高风险域名进行及时的处理。 |
| 访问控制核查:检查指定IP组之间的访问关系以及控制策略是否生效。 |
| SIEM分析系统 |
针对SIEM分析系统识别到的致命与高危日志进行及时关注与处理。 |
| EBA用户行为分析 |
针对EBA分析识别到的异常用户行为进行及时关注与处理。 |
| 周报查阅 |
负责人对周报内容进行查阅,并对其中的重点异常项进行及时处置。 |
| 资产风险处置 |
退库资产:识别退库资产是否已经从网络中清除。DHCP的资产除外。 |
建议使用Chrome浏览器访问!
