XDR平台稳定运行,安全组件对接正常,XDR平台检测出安全事件,需要进行分析研判并处置;
查看安全事件详情,发现黑客通过httpd进程创建cmd进程,该cmd进程命令行使用cd切换工作目录以及创建emulation.exe进程
通过emulation.exe进程创建beacon.exe子进程,该文件被标记为木马病毒
通过beacon.exe进程利用powershell执行混淆命令,创建计划任务,访问矿池域名触发挖矿行为,以上beacon.exe进程触发的恶意行为分别映射上不同的ATT&CK攻击技术。
综上所述判断该安全事件攻击成功,需要采取处置措施联动网络侧设备AF封禁该IP流量,联动终端侧设备进行恶意文件处置、进程阻断、终端病毒查杀,点击隔离主机,选择隔离主机联动的设备,以AF设备demoaf60为例;
操作3
可以在封禁IP管理列表看到新增的封禁IP,登录对应的AF设备demoaf60控制台,在安全运营->黑白名单->黑名单->临时封锁名单看到XDR联动AF下发的封禁IP,实现一键联动网络侧设备进行流量拦截。
:
安全告警是指深信服安全检测与响应平台XDR检测到的您现网资产中存在的威胁,这些威胁可以是某个恶意IP对您资产进行的攻击,也可以是您资产中已被入侵的异常情况,例如您的主机在执行恶意脚本或访问恶意下载源等,处置手段与安全事件处置场景思路及操作类似,不赘述。
建议使用Chrome浏览器访问!
