6. 安全感知平臺(tái)報(bào)表分析

第6.3.6節(jié)

安全感知報(bào)表分析12345Contents報(bào)表作用說明綜合安全風(fēng)險(xiǎn)報(bào)告摘要報(bào)告主機(jī)安全風(fēng)險(xiǎn)報(bào)告脆弱性感知報(bào)告報(bào)表作用說明安全感知平臺(tái)根據(jù)用戶不同角色和使用場(chǎng)景分為《綜合安全風(fēng)險(xiǎn)報(bào)告》、《摘要報(bào)告》、《主機(jī)安全風(fēng)險(xiǎn)報(bào)告》、《脆弱性感知報(bào)告》四個(gè)報(bào)告?！毒C合安全風(fēng)險(xiǎn)報(bào)告》：適用于用戶的管理者和運(yùn)維人員。報(bào)告完整展示網(wǎng)絡(luò)安全態(tài)勢(shì)和詳情，篇幅較大，適合綜合匯報(bào)的場(chǎng)景。《摘要報(bào)告》：適用于用戶管理者。以摘要的形式，展示整體的安全狀況統(tǒng)計(jì)和態(tài)勢(shì)，支持按單位（分支）導(dǎo)出?！吨鳈C(jī)安全風(fēng)險(xiǎn)報(bào)告》：適用于用戶運(yùn)維人員。展示所有需要處理的風(fēng)險(xiǎn)主機(jī)，以及詳細(xì)的風(fēng)險(xiǎn)狀況，提供危害解釋和解決方案參考，支持按單位（分支）、主機(jī)導(dǎo)出。《脆弱性感知報(bào)告》：適用于用戶運(yùn)維人員。分析具體的業(yè)務(wù)系統(tǒng)存在的脆弱性風(fēng)險(xiǎn)。提供危害解釋和參考解決方案。12345Contents報(bào)表作用說明綜合安全風(fēng)險(xiǎn)報(bào)告摘要報(bào)告主機(jī)安全風(fēng)險(xiǎn)報(bào)告脆弱性感知報(bào)告綜合安全風(fēng)險(xiǎn)報(bào)告

終端安全風(fēng)險(xiǎn)報(bào)告導(dǎo)出，按需要導(dǎo)出，可選擇時(shí)間范圍，內(nèi)容范圍，報(bào)表名稱可自定義及自定義評(píng)分等級(jí)。綜合安全風(fēng)險(xiǎn)報(bào)告封面為報(bào)告內(nèi)容的時(shí)間范圍、導(dǎo)出時(shí)間和內(nèi)容范圍。建議主要關(guān)注已失陷與高可疑。文檔結(jié)構(gòu)：文檔分為六個(gè)章節(jié)。第一章：產(chǎn)品的說明。第二章：當(dāng)前網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)評(píng)估情況。第三章：業(yè)務(wù)安全的詳情分析有詳細(xì)的舉證信息。第四章：終端的詳情分析有詳細(xì)的舉證信息。第五章：安全規(guī)劃建設(shè)建議是一個(gè)基本的指導(dǎo)建議。第六章：附錄主要為給已發(fā)現(xiàn)的安全問題進(jìn)行風(fēng)險(xiǎn)危害說明和提供處理建議綜合安全風(fēng)險(xiǎn)報(bào)告安全風(fēng)險(xiǎn)概況，通過數(shù)據(jù)統(tǒng)計(jì)的方式，將各種類型的安全事件統(tǒng)計(jì)出來。包括整體安全、分支安全、安全事件視等。綜合安全風(fēng)險(xiǎn)報(bào)告業(yè)務(wù)安全詳情分析，對(duì)已經(jīng)發(fā)現(xiàn)的風(fēng)險(xiǎn)業(yè)務(wù)進(jìn)行詳細(xì)的舉證說明。列出主機(jī)主動(dòng)訪問存在webshell后門的域名，存在主機(jī)被黑客控制的可能。主機(jī)向控制者發(fā)起C&C通信，并使用HFS協(xié)議（多為病毒使用）?？赏ㄟ^微步或virustotal進(jìn)一步確認(rèn)（第三方只做進(jìn)一步確認(rèn)，安全感知平臺(tái)還有自己的檢測(cè)引擎，當(dāng)?shù)谌狡脚_(tái)未檢測(cè)IP/域名存在問題時(shí)，建議到終端上排查）綜合安全風(fēng)險(xiǎn)報(bào)告1、對(duì)于域名方式的惡意軟件行為可以通過微步、virustotal進(jìn)行再確認(rèn)。無問題時(shí)可以對(duì)其進(jìn)行刪除。如左圖情況可以可看微步的多個(gè)信息無惡意文件標(biāo)簽。威脅情報(bào)無問題。有無相關(guān)的事件等信息IP分析，若為國(guó)外IP有可疑的情況（如客戶為政府單位）whois信息查詢。綜合安全風(fēng)險(xiǎn)報(bào)告3、對(duì)于郵件的檢測(cè)，需要可以登錄設(shè)備查看進(jìn)一步確認(rèn)。若是發(fā)送了可疑附件，可以下載使用火絨進(jìn)行再確認(rèn)（當(dāng)前我們內(nèi)置了火絨的殺毒引擎）或virustotal上傳文件確認(rèn)；若無可疑附件則需要與客戶了解是否一個(gè)用于發(fā)通知的郵箱，存在誤判的可能信，若需要確認(rèn)需要研發(fā)同事確認(rèn)。2、對(duì)于漏洞利用攻擊的行為定義為低可疑，若無法到服務(wù)器上確認(rèn)是否存在該漏洞可在報(bào)告中刪除。綜合安全風(fēng)險(xiǎn)報(bào)告4、對(duì)于掃描行為，如http，icmp，smb等只算低可疑或高可疑，首先和客戶了解是否存在業(yè)務(wù)行為；其次使用edr（）或其他的殺軟對(duì)主機(jī)進(jìn)行排查；最后使用進(jìn)程分析工具，監(jiān)控進(jìn)程找到正在進(jìn)行掃描的進(jìn)程，將進(jìn)程copy出來上傳到virustatol進(jìn)行分析，不一定能分析得出問題，存在進(jìn)程只是被注入的情況可轉(zhuǎn)安服協(xié)助處置。5、對(duì)于數(shù)據(jù)的行為舉證可以直接刪除，很難證明有問題，所以也是放到低可疑。綜合安全風(fēng)險(xiǎn)報(bào)告6、對(duì)于永恒之藍(lán)、永恒浪漫的漏洞利用較準(zhǔn)確，可到平臺(tái)上查看具體的安全事件并確認(rèn)服務(wù)器是否打過ms17-010補(bǔ)丁。綜合安全風(fēng)險(xiǎn)報(bào)告安全規(guī)劃建設(shè)建議為常規(guī)的建設(shè)加固建議，可用于參考綜合安全風(fēng)險(xiǎn)報(bào)告附錄中主要是對(duì)當(dāng)前發(fā)現(xiàn)的安全事件如何進(jìn)行處置，給出處置的步驟建議較為籠統(tǒng)，可參考其它問題處置文檔。12345Contents報(bào)表作用說明綜合安全風(fēng)險(xiǎn)報(bào)告摘要報(bào)告主機(jī)安全風(fēng)險(xiǎn)報(bào)告脆弱性感知報(bào)告摘要報(bào)告主要是數(shù)據(jù)的統(tǒng)計(jì)，用于給領(lǐng)導(dǎo)匯報(bào)，了解當(dāng)前安全情況的大致分布。報(bào)告統(tǒng)計(jì)數(shù)據(jù)的時(shí)間范圍和內(nèi)容范圍摘要報(bào)告報(bào)告分為五個(gè)章節(jié)。第一章：總體摘要，了解平臺(tái)的運(yùn)行情況，接入設(shè)備的情況，和網(wǎng)絡(luò)當(dāng)前的綜合風(fēng)險(xiǎn)評(píng)級(jí)。第二章：安全感知詳情，通過統(tǒng)計(jì)數(shù)據(jù)展示當(dāng)前網(wǎng)絡(luò)環(huán)境的風(fēng)險(xiǎn)狀況。第三章：UEBA行為畫像功能，了解服務(wù)器業(yè)務(wù)的訪問情況。第四章：安全規(guī)劃建議建議，與綜合風(fēng)險(xiǎn)報(bào)告相同。第五章：深信服感知平臺(tái)優(yōu)勢(shì)，主要做產(chǎn)品的介紹說明。摘要報(bào)告總體摘要：1、展示平臺(tái)的運(yùn)行情況，設(shè)備的接入情況。2、當(dāng)前安全的總體情況包括“優(yōu)”、“良”、“中”、“差”四個(gè)等級(jí)。包括整體安全風(fēng)險(xiǎn)情況和分支安全風(fēng)險(xiǎn)情況。摘要報(bào)告列也前10的風(fēng)險(xiǎn)服務(wù)器及風(fēng)險(xiǎn)終端，說明失陷確定性、威脅等級(jí)和處理狀態(tài)。失陷確定性等級(jí)是指一個(gè)主機(jī)失陷的可能性，共含四個(gè)等級(jí)，按失陷可能性由高到低依次為：已失陷、高可疑、低可疑、正常。失陷等級(jí)越高，越有可能失陷威脅等級(jí)是指一個(gè)主機(jī)對(duì)整個(gè)組織內(nèi)網(wǎng)的影響程度，按影響嚴(yán)重性由高到低依次為：高威脅、中威脅、低威脅、無威脅。威脅等級(jí)越高，產(chǎn)生的影響越嚴(yán)重。摘要報(bào)告

威脅態(tài)勢(shì)感知通過柱狀圖的方式展示三個(gè)維度外部威脅、橫向威脅、外連威脅的數(shù)據(jù)統(tǒng)計(jì)。摘要報(bào)告列出發(fā)現(xiàn)的熱點(diǎn)事件和發(fā)現(xiàn)的其他安全事件并簡(jiǎn)單舉列說明。摘要報(bào)告包括橫向威脅，外連威脅、外部威脅、脆弱性感知的數(shù)據(jù)統(tǒng)計(jì)和舉例說明摘要報(bào)告UEBA行為畫像是通過機(jī)器學(xué)習(xí)引擎得出來的主機(jī)行為畫像。摘要報(bào)告通過安全可視化、業(yè)務(wù)梳理與訪問關(guān)系可視化、多維度威脅檢測(cè)能力、UEBA等展示出深信服安全感知平臺(tái)的優(yōu)勢(shì)。12345Contents報(bào)表作用說明綜合安全風(fēng)險(xiǎn)報(bào)告摘要報(bào)告主機(jī)安全風(fēng)險(xiǎn)報(bào)告脆弱性感知報(bào)告主機(jī)安全風(fēng)險(xiǎn)報(bào)告主機(jī)安全風(fēng)險(xiǎn)報(bào)告與綜合安全風(fēng)險(xiǎn)報(bào)告類似，都是對(duì)發(fā)現(xiàn)的主機(jī)安全事件進(jìn)行詳細(xì)的舉證說明。列出top10的風(fēng)險(xiǎn)業(yè)務(wù)和風(fēng)險(xiǎn)終端。并簡(jiǎn)要說明其存在的安全問題。主機(jī)安全風(fēng)險(xiǎn)報(bào)告業(yè)務(wù)風(fēng)險(xiǎn)對(duì)發(fā)現(xiàn)的風(fēng)險(xiǎn)業(yè)務(wù)從“潛伏威脅”、“外部威脅”兩個(gè)維度進(jìn)行安全事件的分析，對(duì)應(yīng)安全事件類型可以參考“綜合安全風(fēng)險(xiǎn)報(bào)告”進(jìn)行分析。主機(jī)安全風(fēng)險(xiǎn)報(bào)告終端風(fēng)險(xiǎn)對(duì)發(fā)現(xiàn)的風(fēng)險(xiǎn)終端從“潛伏威脅”、“外部威脅”兩個(gè)維度進(jìn)行安全事件的分析，對(duì)應(yīng)安全事件類型可以參考“綜合安全風(fēng)險(xiǎn)報(bào)告”進(jìn)行分析。注：終端風(fēng)險(xiǎn)極少存在外部威脅主機(jī)安全風(fēng)險(xiǎn)報(bào)告風(fēng)險(xiǎn)危害&處理建議與“綜合安全風(fēng)險(xiǎn)報(bào)告”中的“附錄”內(nèi)容類似，提升所發(fā)現(xiàn)問題的風(fēng)險(xiǎn)危害說明和處置辦法12345Contents報(bào)表作用說明綜合安全風(fēng)險(xiǎn)報(bào)告摘要報(bào)告主機(jī)安全風(fēng)險(xiǎn)報(bào)告脆弱性感知報(bào)告脆弱性感知報(bào)告脆弱性感知報(bào)告展示客戶內(nèi)網(wǎng)業(yè)務(wù)存在的漏洞、配置、弱密碼、web明文傳輸?shù)膯栴}。我們的脆弱性當(dāng)前無自動(dòng)驗(yàn)證功能，所以只做為預(yù)警使用。脆弱性感知報(bào)告分為核心業(yè)務(wù)脆弱性與普通業(yè)務(wù)脆弱性，脆弱性檢測(cè)總覽將所有的漏洞的分布情況通過圖表的形式展示出來。脆弱性感知報(bào)告脆弱性檢測(cè)總覽，統(tǒng)計(jì)脆弱性的分布，top10的核心業(yè)務(wù)與top10的普通業(yè)務(wù)脆弱性情況。脆弱性感知報(bào)告漏洞說明：通過風(fēng)險(xiǎn)描述、受影響的服務(wù)器、解決方案、詳細(xì)信息對(duì)漏洞進(jìn)