监控人员:
监控安全设备,对安全设备产生的告警进行上报。
研判人员:
对监控人员上报的告警事件进行分析判断并做出研判结论及处置建议。
共同准备:
1、熟悉流量监控平台的使用和事件上报平台的提交格式。
2、需要知道客户内网部署的扫描器、F5、DNS、proxy、array等设备的ip地址,将其整理放置在一个表格/多个表格中,以便后续搜索。
3、根据客户要求将部分ip添加至设备白名单中。
4、对告警类型进行筛选,像挖矿、蠕虫、病毒、拒绝服务这类不太可能为攻击方发起的攻击的事件,直接过滤掉,减少告警数量。
1、当出现告警时,首先判断攻击是否为真实攻击(即是否存在攻击payload),如果能判断不是攻击行为,则可以不用上报;如果确认为攻击行为或者不能确认是否为攻击行为,进行下一步操作,在之前准备好的表格中查找ip是否为客户内网部署的设备,如果不是,继续进行下一步,在事件上报平台查看是否有其他人提交过,如果没有,则上报。(文字看着比较多,实际操作起来不超过两分钟)
2、需要留意X-Forwarded-For(简称XFF)和x-real-ip,当请求详情中存在这两个头时,真实的来源ip往往是这两个头后面的ip。
3、上报事件时,尽可能提供完整的截图,包括源ip、目的ip,请求包请求体,响应包响应体等重要信息,以方便后续人员研判溯源。
1、再次对上报事件中的攻击ip进行判断,是否为客户内部部署的设备。如果不是,那么除了可以100%判断为业务行为的告警,其他外网ip提交的处置建议一律为封禁。(宁错封不漏封)
2、通过加长时间跨度查询,如查询告警攻击ip近三个月内的告警记录,以此判断攻击行为是否为本次攻防的攻击方所为。
3、研判结论尽可能写得详细,写出判断依据,如根据xxx得出结论,以方便后续人员溯源和处置。
4、对于不能通过自家设备研判的告警,可联系其他厂商协同研判或在群内反馈求助,如果最终仍然无法判断,提交给溯源组进行溯源。(针对攻击ip为内网ip的情况)
5、如果想通过复现进行研判,需向客户提交申请,经允许后才可复现。
END~以上为个人总结,仅供参考。
最后,祝本次行动顺利进行,圆满结束!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论