安全運(yùn)營(yíng)周報(bào)

xxxx安全運(yùn)營(yíng)周報(bào)(2023/02/25—2023/03/28)目錄TOC\o"1-5"\h\z\o"CurrentDocument"本周SOC情況綜述3\o"CurrentDocument"弱口令與文件上傳檢查與整改情況4\o"CurrentDocument"內(nèi)外部安全預(yù)警事件響應(yīng)與處置情況4\o"CurrentDocument"提請(qǐng)關(guān)注或?qū)徸h事項(xiàng)4一、本周SOC情況綜述.安全運(yùn)營(yíng)總覽截至4月30日,本周安全運(yùn)營(yíng)平臺(tái)告警總數(shù)285866條，其中重要告警事件1978條，攻擊總量比上周增加15%。去除重復(fù)報(bào)警和誤報(bào)后，本周實(shí)際上報(bào)安全事件6起，已完成處置5起彳寺后續(xù)跟進(jìn)1起。.安全威脅態(tài)勢(shì)互聯(lián)網(wǎng)數(shù)據(jù)統(tǒng)計(jì)本周互聯(lián)網(wǎng)網(wǎng)站安全防護(hù)狀態(tài)正常，檢測(cè)并阻斷各類Web攻擊行為98888次。相關(guān)安全事件排查如下：2021/4/2812:11,來(lái)自北京的攻擊源IP36.11使用pop3協(xié)議登陸XX用戶郵箱，在失敗一百多次后成功登陸，疑似遭到暴力破解攻擊。立即聯(lián)系軟開(kāi)XX,回復(fù)其在北京出差，IP為其當(dāng)前正在使用的4G網(wǎng)絡(luò)地址，確認(rèn)為非安全事件。內(nèi)網(wǎng)數(shù)據(jù)統(tǒng)計(jì)本周內(nèi)網(wǎng)安全防護(hù)狀態(tài)正常，檢測(cè)到內(nèi)網(wǎng)橫向攻擊行為688次，相關(guān)安全事件排查如下：2021/4/2512:11,辦公測(cè)試網(wǎng)有終端查詢惡意域名的CDN解析地址,疑似中了木馬。通過(guò)DNS解析日志，找到發(fā)起請(qǐng)求的終端屬于XX部XXX,已通知XX禁用該員域賬號(hào)，通知本人暫不接入任何網(wǎng)絡(luò)并立即全盤殺毒。2021/4/2613:38,XX上報(bào)源IP10.198.255.1嘗試暴力破解主機(jī)10.188.40.90的SSH服務(wù)賬號(hào)密碼。經(jīng)排查，此源IP為堡壘機(jī)IP,屬于正常操作，設(shè)備告警的規(guī)則是使用了不存在的賬號(hào)，因此告警，經(jīng)核實(shí)為員工誤操作導(dǎo)致。2.3專線數(shù)據(jù)統(tǒng)計(jì)本周專線安全防護(hù)狀態(tài)正常，檢測(cè)到通過(guò)專線發(fā)起的攻擊行為668次，相關(guān)安全事件排查如下：1)4月26日XX銀行測(cè)試專線(地址35.L36.X)掃描我方58個(gè)測(cè)試IP的445端口,疑似病毒傳播，已通知XX銀行客戶經(jīng)理并在測(cè)試防火墻上臨時(shí)封禁該IP,待銀行反饋后再解封，此事件待跟進(jìn)。二、弱口令與文件上傳檢查與整改情況.弱口令問(wèn)題2021/4/2713:38,XX系統(tǒng)發(fā)現(xiàn)測(cè)試兩臺(tái)主機(jī)部署的XXX應(yīng)用存在空口令情況，已通知XX部應(yīng)用負(fù)責(zé)人XX整改。2021-4-2810:00,經(jīng)復(fù)查，已完成弱口令整改。.文件上傳問(wèn)題本周無(wú)相關(guān)安全事件。三、內(nèi)外部安全預(yù)警事件響應(yīng)與處置情況2021/11/20,安全團(tuán)隊(duì)獲悉Drupal官方安全更新，修復(fù)了Drupal遠(yuǎn)