English日本語

安全管理平台+

泰合安管平台“永恒之蓝WannaCry”安全监测与响应


发布时间 2019-03-14   来源:澳门浦京娱乐场  


今年4月16日澳门浦京娱乐场泰合北斗团队发布了《澳门浦京娱乐场泰合安全管理平台针对最新NSA黑客工具泄漏事件的应急处置指引》,先容了将会受泄漏的NSA工具控制受影响的Windows主机类型与可利用SMB、RDP、IIS等服务漏洞进行攻击的行为,并给出了相应的应急处置指引。针对本次全球范围内爆发的“WannaCry”勒索病毒事件,澳门浦京娱乐场提供基于安全管理平台的事件分析和安全预警操作引导。


澳门浦京娱乐场泰合安全管理平台和日志审计平台的“事件”模块提供了灵活的事件查询与统计功能,可帮助用户实现事后审计,分析和追踪网络中的SMB访问行为事件;关联分析规则模块,可帮助用户从海量日志中对攻击日志进行聚类分析,找出有价值安全事件,可“规则”模块中添加一组与Windows SMB远程代码实行漏洞有关的关联分析规则,监视网络中发生的Windows SMB远程代码实行漏洞MS17-010事件,实现事中预警,并自动以邮件或短信(需有短信接口)的方式通知用户及时掌握攻击态势。如果您需要大家查杀WannaCry病毒或咨询其他问题请与澳门浦京娱乐场泰合北斗服务团队联系。


1、 通过事件模块进行事后审计


在“事件”分析模块中,可指定任意关键字进行模糊检索,也可以指定事件的条件进行精确查询。如设定查询条件:最近7天、目的端口为445,即可快速查询出安全管理平台管理资产范围内,任意源地址访问目的地址445端口7天范围内的全部数据。


还可对查询结果按任意事件属性进一步聚焦分析,如可根据查询结果中的源地址或目的地址等条件统计排名,进一步挖掘事件的影响范围,根据事件产生时间和源地址与目标地址的对比,追踪蠕虫病毒传播的轨迹。

 

2、 通过基于威胁情报的关联分析


澳门浦京娱乐场泰合安全管理平台可与威胁情报合作组织(天际友盟)互通,将攻击源提交给情报机构进行研判。另外还可获取外部威胁情报机构“Windows SMB远程代码实行漏洞”的威胁源列表,在关联分析过程中引入威胁情报,提升安全事件预警的准确度。在“规则”模块添加一组与Windows SMB远程代码实行漏洞有关的关联分析规则过程如下:


1)在观察列表中,添加“SMB威胁情报源”,将SMB外部威胁情报源的数据导入平台已创建好的观察列表中,作为外部情报数据使用。

 

2)在规则模块中,添加“L2_ADS_SMB可疑访问事件”,此规则条件为:事件名称包含SMB 并且包含蠕虫病毒、设备类型开始于安全设备、响应为允许、发现、忽略,配置方法截图如下:

 

通过分析规则自动将SMB蠕虫病毒可疑访问的源地址添加到观察列表“SMB威胁情报源”中,作为内部情报数据使用。


3)添加“L3_MC_ MS17-010SMB远程代码实行漏洞”,条件如下:事件名称开始于TCP_Windows SMB远程代码实行漏洞,且事件名称中包含MS17-010、设备类型开始于安全设备、响应为允许、源地址引用观察列表“SMB威胁情报源”

 

将告警等级设置为“高”,并自动将告警详细通过邮件或短信通知给相关人员。


(来源:澳门浦京娱乐场)


相关推荐
重要看点
工业互联网
工业互联网

工业自动化控制系统,主要利用电子、电气、机械、App组合实现,广泛用于电力、水利、能源、数据采集等关键基础设施领域,包括SCADA、DCS、PLC等工业控制系统的安全问题。

XML 地图 | Sitemap 地图