转载公众号《微言晓意》,仅用于个人学习
安全告警关联分析归纳起来可以分为四类:1、同一攻击源/目的特定告警数量叠加,可能遭受持续性攻击;2、内网主机发起安全攻击,可能主机已经失陷、横向攻击;3)不同网络位置的关联告警,可能已经绕过边界防护;4)告警/异常告警关联后判定攻击成功。在前期三篇安全分析场景的文章里,主要从威胁情报、账号异常、网络异常三个维度进行了梳理,其中也涉及到了部分与安全告警的关联,在此就不做重复性描述,感兴趣的话可以查看“分析场景”标签中的文章。
大量同一类型攻击相关场景
▼▼场景一:同一源地址多次发起同一类型攻击
- 场景描述:通过同一类型安全攻击告警次数,判定源地址是否发起持续性安全攻击。
- 分析方法:特定时间内(如10分钟内),同一源地址发起特定攻击(如远程漏洞利用攻击)超过一定数量(如20次)。
- 数据源:IDS、IPS、NTA
-
解决方案:检查被攻击机器是否存在漏洞,确认安全攻击是否成功。
-
场景描述:通过同一类型安全攻击告警次数,判定目的地址是否遭受持续性安全攻击。
-
分析方法:特定时间内(如10分钟内),同一目的地址遭受特定攻击(如远程漏洞利用攻击)超过一定数量(如20次)。
-
数据源:IDS、IPS、NTA
- 解决方案:检查被攻击机器是否存在漏洞,确认安全攻击是否成功。
内网主机发起攻击相关场景
▼▼场景三:同一内网主机多次发起同一类型攻击
- 场景描述:通过内网主机发起安全攻击告警次数,判定内网主机是否已经失陷。
- 分析方法:特定时间内(如10分钟内),同一源地址内网主机发起特定攻击(如远程漏洞利用攻击)超过一定数量(如20次)。
- 数据源:IDS、IPS、NTA
-
解决方案:检查源地址机器是否被控制,检查被攻击机器是否存在漏洞,确认安全攻击是否成功。
-
场景描述:通过内网主机被攻击后发起网络扫描,判定内网主机是否已经失陷。
-
分析方法:特定时间内(如60分钟内),同一源地址内网主机被植入webshell后发起网络扫描。
-
数据源:FW、WAF
- 解决方案:屏蔽该地址对内部服务的访问、对发生告警主机进行webshell查杀。
发生关联攻击告警相关场景
▼▼场景五:web网页扫描后发起web攻击
-
场景描述:通过web网页扫描与web攻击告警,判定web应用正在遭受持续性攻击。
-
分析方法:特定时间内(如60分钟内),同一源地址发生web扫描告警后,发生web攻击告警。
-
数据源:IPS、IDS、WAF
- 解决方案:屏蔽该地址对内部服务的访问,确定该事件是否为恶意攻击行为。
-
场景描述:通过绕过WAF防护发起web攻击告警,判定web攻击已经绕过WAF防御。
-
分析方法:发生WAF攻击告警(事件A)后特定时间内(如3分钟内),发生IDS攻击告警(事件B),事件A.源地址=事件B.源地址且事件A.目的地址=事件B.目的地址。
-
数据源:IDS、WAF
- 解决方案:屏蔽该地址对内部服务的访问,确定该事件是否为恶意攻击行为。
告警关联后攻击成功相关场景
▼▼场景七:SQL注入攻击后发生数据库提权
-
场景描述:通过SQL注入攻击后发生数据库提权告警,判定SQL注入攻击已经成功。
-
分析方法:web服务器发生SQL注入攻击告警后,特定时间内(如5分钟),发生数据库提权事件。
-
数据源:IPS、IDS、WAF
- 解决方案:屏蔽该地址对内部服务的访问,SQL注入攻击是否成功。
-
场景描述:通过web后台登陆异常后被注入webshell,判定web攻击已经成功。
-
分析方法:特定时间内(如10分钟),同一源地址对同一web服务后台登陆异常后,被植入webshell。
-
数据源:中间件日志、WAF
- 解决方案:屏蔽该地址对内部服务的访问,同时对发生告警主机进行webshell查杀。