更新时间:2024-09-04
SIP安全感知平台平台需要通过探针、深信服自有安全设备及第三方安全设备等安全组件采集全网关键数据,对全网流量实现全网业务可视和威胁感知。其中,潜伏威胁探针STA为数据采集主要组件,需了解客户网络拓扑后,合理规划流量抓取点,可参考如下建议。
表1流量抓取点及检测内容
| 流量抓取点 |
推荐程度 |
检测内容 |
备注 |
| 服务器↔互联网 |
必须 |
检测服务器开放端口及是否存在外连情况 |
有效检查服务器失陷情况 |
| 服务器↔用户 |
必须 |
用户对服务器的攻击行为 |
能够有效将攻击抑制在攻击链的前端,避免对服务器网络造成威胁和数据泄密 |
| 服务器↔服务器 |
推荐 |
服务器之间是否存在横向攻击 |
如果担心交换机性能或板卡承载问题,可仅导入关键业务的流量 |
| 用户↔互联网 |
推荐 |
1.用户是否存在C&C通信来判定已失陷 2.用户感染来源,是否下载过恶意软件 |
最容易出效果的区域,但是需要提前了解客户是否关注用户上网区的安全问题 |
| DMZ区域 |
必须 |
外部网络对服务器的攻击 |
该区域是最易受到攻击的,最能发现问题 |
| DNS服务器流量(用户请求DNS,服务器请求DNS) |
推荐 |
在DNS服务器之前部署探针抓取流量,避免平台防止误判 |
非DNS服务器转发的流量,未确认好镜像位置容易误报DNS服务器为失陷主机 |
建议使用Chrome浏览器访问!
