横向攻击主要指内网主机对内部其他主机的攻击行为,该主机可能被黑客控制沦为跳板机,企图控制更多的内网其他主机,或为内网用户的恶意行为,对客户的内网安全影响较大。SIP平台在[分析中心/异常行为分析/横向风险访问]页面,为管理员展示横向攻击整体情况,并指引进行具体分析与对应处置。
整体展示
在[分析中心/异常行为分析/横向风险访问]页面下,管理员可总览以下整体数据:
• 存在横向攻击行为的主机及其中的服务器数量、遭受横向攻击的服务器数量;
• 内部攻击趋势:记录一段时间中每天发生内部攻击的次数;
• 危害和处理建议:包括危害描述及安全建议,点击<查看更多>可查看完整建议。
同时,页面支持通过最近7天、最近30天、今天以及最近24小时进行数据统计,同时,可点击<更多筛选>,对“时间段”自定义及“攻击类型”筛选,页面如下图所示。
管理员点击页面左上角的<导出>可将所有的横向攻击导出为excel表格进行查看。
详情分析
在[异常行为分析/横向风险访问]页签下,管理员可对“风险访问者”和“内部目标”进行分类查看。
步骤79管理员在[风险访问者]页面,可查看攻击者IP/类型(服务器/终端)、所属资产组织、横向威胁类型、受害者数、受害者类型、攻击类型TOP3及日志数信息,如下图所示。
步骤80可通过“全部”、“服务器/终端攻击服务器”、“终端/服务器攻击终端”进行筛选,或通过右侧搜索框直接搜索需要查询的IP地址/资产组织。
步骤81管理员点击具体的风险访问者IP,可跳转至相应的[潜伏威胁黄金眼]页面进一步展示详细信息,如下图所示。
步骤82管理员点击具体的风险访问类型TOP3对应的日志数,可跳转至相应的[分析中心/日志检索]页面,自动筛选对应日志,如下图所示。
步骤83管理员在[内部目标]页面,可查看受害者IP/类型(服务器/终端)、所属资产组织、内部攻击者数、攻击类型TOP3及日志数信息,如下图所示。
内部受害者可以通过全部、服务器、终端进行筛选,勾选“仅显示核心服务器”,可在列表中只展示核心服务器的详情;同时支持IP/资产组织的搜索。
步骤84管理员点击具体的受害者IP/内部攻击者数,可跳转至相应的[潜伏威胁黄金眼]页面进一步展示详细信息,如下图所示。
步骤85管理员点击具体的攻击类型TOP3/日志数,可跳转至相应的[分析中心/日志检索/安全检测日志]自动筛选对应日志,如下图所示。
建议使用Chrome浏览器访问!
