6. 安全感知平臺報表分析

第6.3.6節(jié)

安全感知報表分析12345Contents報表作用說明綜合安全風(fēng)險報告摘要報告主機安全風(fēng)險報告脆弱性感知報告報表作用說明安全感知平臺根據(jù)用戶不同角色和使用場景分為《綜合安全風(fēng)險報告》、《摘要報告》、《主機安全風(fēng)險報告》、《脆弱性感知報告》四個報告?！毒C合安全風(fēng)險報告》：適用于用戶的管理者和運維人員。報告完整展示網(wǎng)絡(luò)安全態(tài)勢和詳情，篇幅較大，適合綜合匯報的場景?！墩獔蟾妗罚哼m用于用戶管理者。以摘要的形式，展示整體的安全狀況統(tǒng)計和態(tài)勢，支持按單位（分支）導(dǎo)出?！吨鳈C安全風(fēng)險報告》：適用于用戶運維人員。展示所有需要處理的風(fēng)險主機，以及詳細的風(fēng)險狀況，提供危害解釋和解決方案參考，支持按單位（分支）、主機導(dǎo)出?！洞嗳跣愿兄獔蟾妗罚哼m用于用戶運維人員。分析具體的業(yè)務(wù)系統(tǒng)存在的脆弱性風(fēng)險。提供危害解釋和參考解決方案。12345Contents報表作用說明綜合安全風(fēng)險報告摘要報告主機安全風(fēng)險報告脆弱性感知報告綜合安全風(fēng)險報告

終端安全風(fēng)險報告導(dǎo)出，按需要導(dǎo)出，可選擇時間范圍，內(nèi)容范圍，報表名稱可自定義及自定義評分等級。綜合安全風(fēng)險報告封面為報告內(nèi)容的時間范圍、導(dǎo)出時間和內(nèi)容范圍。建議主要關(guān)注已失陷與高可疑。文檔結(jié)構(gòu)：文檔分為六個章節(jié)。第一章：產(chǎn)品的說明。第二章：當(dāng)前網(wǎng)絡(luò)的安全風(fēng)險評估情況。第三章：業(yè)務(wù)安全的詳情分析有詳細的舉證信息。第四章：終端的詳情分析有詳細的舉證信息。第五章：安全規(guī)劃建設(shè)建議是一個基本的指導(dǎo)建議。第六章：附錄主要為給已發(fā)現(xiàn)的安全問題進行風(fēng)險危害說明和提供處理建議綜合安全風(fēng)險報告安全風(fēng)險概況，通過數(shù)據(jù)統(tǒng)計的方式，將各種類型的安全事件統(tǒng)計出來。包括整體安全、分支安全、安全事件視等。綜合安全風(fēng)險報告業(yè)務(wù)安全詳情分析，對已經(jīng)發(fā)現(xiàn)的風(fēng)險業(yè)務(wù)進行詳細的舉證說明。列出主機主動訪問存在webshell后門的域名，存在主機被黑客控制的可能。主機向控制者發(fā)起C&C通信，并使用HFS協(xié)議（多為病毒使用）?？赏ㄟ^微步或virustotal進一步確認（第三方只做進一步確認，安全感知平臺還有自己的檢測引擎，當(dāng)?shù)谌狡脚_未檢測IP/域名存在問題時，建議到終端上排查）綜合安全風(fēng)險報告1、對于域名方式的惡意軟件行為可以通過微步、virustotal進行再確認。無問題時可以對其進行刪除。如左圖情況可以可看微步的多個信息無惡意文件標簽。威脅情報無問題。有無相關(guān)的事件等信息IP分析，若為國外IP有可疑的情況（如客戶為政府單位）whois信息查詢。綜合安全風(fēng)險報告3、對于郵件的檢測，需要可以登錄設(shè)備查看進一步確認。若是發(fā)送了可疑附件，可以下載使用火絨進行再確認（當(dāng)前我們內(nèi)置了火絨的殺毒引擎）或virustotal上傳文件確認；若無可疑附件則需要與客戶了解是否一個用于發(fā)通知的郵箱，存在誤判的可能信，若需要確認需要研發(fā)同事確認。2、對于漏洞利用攻擊的行為定義為低可疑，若無法到服務(wù)器上確認是否存在該漏洞可在報告中刪除。綜合安全風(fēng)險報告4、對于掃描行為，如http，icmp，smb等只算低可疑或高可疑，首先和客戶了解是否存在業(yè)務(wù)行為；其次使用edr（）或其他的殺軟對主機進行排查；最后使用進程分析工具，監(jiān)控進程找到正在進行掃描的進程，將進程copy出來上傳到virustatol進行分析，不一定能分析得出問題，存在進程只是被注入的情況可轉(zhuǎn)安服協(xié)助處置。5、對于數(shù)據(jù)的行為舉證可以直接刪除，很難證明有問題，所以也是放到低可疑。綜合安全風(fēng)險報告6、對于永恒之藍、永恒浪漫的漏洞利用較準確，可到平臺上查看具體的安全事件并確認服務(wù)器是否打過ms17-010補丁。綜合安全風(fēng)險報告安全規(guī)劃建設(shè)建議為常規(guī)的建設(shè)加固建議，可用于參考綜合安全風(fēng)險報告附錄中主要是對當(dāng)前發(fā)現(xiàn)的安全事件如何進行處置，給出處置的步驟建議較為籠統(tǒng)，可參考其它問題處置文檔。12345Contents報表作用說明綜合安全風(fēng)險報告摘要報告主機安全風(fēng)險報告脆弱性感知報告摘要報告主要是數(shù)據(jù)的統(tǒng)計，用于給領(lǐng)導(dǎo)匯報，了解當(dāng)前安全情況的大致分布。報告統(tǒng)計數(shù)據(jù)的時間范圍和內(nèi)容范圍摘要報告報告分為五個章節(jié)。第一章：總體摘要，了解平臺的運行情況，接入設(shè)備的情況，和網(wǎng)絡(luò)當(dāng)前的綜合風(fēng)險評級。第二章：安全感知詳情，通過統(tǒng)計數(shù)據(jù)展示當(dāng)前網(wǎng)絡(luò)環(huán)境的風(fēng)險狀況。第三章：UEBA行為畫像功能，了解服務(wù)器業(yè)務(wù)的訪問情況。第四章：安全規(guī)劃建議建議，與綜合風(fēng)險報告相同。第五章：深信服感知平臺優(yōu)勢，主要做產(chǎn)品的介紹說明。摘要報告總體摘要：1、展示平臺的運行情況，設(shè)備的接入情況。2、當(dāng)前安全的總體情況包括“優(yōu)”、“良”、“中”、“差”四個等級。包括整體安全風(fēng)險情況和分支安全風(fēng)險情況。摘要報告列也前10的風(fēng)險服務(wù)器及風(fēng)險終端，說明失陷確定性、威脅等級和處理狀態(tài)。失陷確定性等級是指一個主機失陷的可能性，共含四個等級，按失陷可能性由高到低依次為：已失陷、高可疑、低可疑、正常。失陷等級越高，越有可能失陷威脅等級是指一個主機對整個組織內(nèi)網(wǎng)的影響程度，按影響嚴重性由高到低依次為：高威脅、中威脅、低威脅、無威脅。威脅等級越高，產(chǎn)生的影響越嚴重。摘要報告

威脅態(tài)勢感知通過柱狀圖的方式展示三個維度外部威脅、橫向威脅、外連威脅的數(shù)據(jù)統(tǒng)計。摘要報告列出發(fā)現(xiàn)的熱點事件和發(fā)現(xiàn)的其他安全事件并簡單舉列說明。摘要報告包括橫向威脅，外連威脅、外部威脅、脆弱性感知的數(shù)據(jù)統(tǒng)計和舉例說明摘要報告UEBA行為畫像是通過機器學(xué)習(xí)引擎得出來的主機行為畫像。摘要報告通過安全可視化、業(yè)務(wù)梳理與訪問關(guān)系可視化、多維度威脅檢測能力、UEBA等展示出深信服安全感知平臺的優(yōu)勢。12345Contents報表作用說明綜合安全風(fēng)險報告摘要報告主機安全風(fēng)險報告脆弱性感知報告主機安全風(fēng)險報告主機安全風(fēng)險報告與綜合安全風(fēng)險報告類似，都是對發(fā)現(xiàn)的主機安全事件進行詳細的舉證說明。列出top10的風(fēng)險業(yè)務(wù)和風(fēng)險終端。并簡要說明其存在的安全問題。主機安全風(fēng)險報告業(yè)務(wù)風(fēng)險對發(fā)現(xiàn)的風(fēng)險業(yè)務(wù)從“潛伏威脅”、“外部威脅”兩個維度進行安全事件的分析，對應(yīng)安全事件類型可以參考“綜合安全風(fēng)險報告”進行分析。主機安全風(fēng)險報告終端風(fēng)險對發(fā)現(xiàn)的風(fēng)險終端從“潛伏威脅”、“外部威脅”兩個維度進行安全事件的分析，對應(yīng)安全事件類型可以參考“綜合安全風(fēng)險報告”進行分析。注：終端風(fēng)險極少存在外部威脅主機安全風(fēng)險報告風(fēng)險危害&處理建議與“綜合安全風(fēng)險報告”中的“附錄”內(nèi)容類似，提升所發(fā)現(xiàn)問題的風(fēng)險危害說明和處置辦法12345Contents報表作用說明綜合安全風(fēng)險報告摘要報告主機安全風(fēng)險報告脆弱性感知報告脆弱性感知報告脆弱性感知報告展示客戶內(nèi)網(wǎng)業(yè)務(wù)存在的漏洞、配置、弱密碼、web明文傳輸?shù)膯栴}。我們的脆弱性當(dāng)前無自動驗證功能，所以只做為預(yù)警使用。脆弱性感知報告分為核心業(yè)務(wù)脆弱性與普通業(yè)務(wù)脆弱性，脆弱性檢測總覽將所有的漏洞的分布情況通過圖表的形式展示出來。脆弱性感知報告脆弱性檢測總覽，統(tǒng)計脆弱性的分布，top10的核心業(yè)務(wù)與top10的普通業(yè)務(wù)脆弱性情況。脆弱性感知報告漏洞說明：通過風(fēng)險描述、受影響的服務(wù)器、解決方案、詳細信息對漏洞進