今年4月16日南宫NG娱乐泰合北斗团队宣布了《南宫NG娱乐泰合清静治理平台针对最新NSA黑客工具走漏事务的应急处置惩罚指引》�,�,�,�,,�,先容了将会受走漏的NSA工具控制受影响的Windows主机类型与可使用SMB、RDP、IIS等效劳误差举行攻击的行为�,�,�,�,,�,并给出了响应的应急处置惩罚指引�。。�。�。�。�。针对本次全球规模内爆发的“WannaCry”勒索病毒事务�,�,�,�,,�,南宫NG娱乐提供基于清静治理平台的事务剖析和清静预警操作指导�。。�。�。�。�。
南宫NG娱乐泰合清静治理平台和日志审计平台的“事务”�?�?�?�?樘峁┝宋扌暗氖挛衽涛视胪臣乒π�,�,�,�,,�,可资助用户实现事后审计�,�,�,�,,�,剖析和追踪网络中的SMB会见行为事务;�;�;;关联剖析规则�?�?�?�?�,�,�,�,,�,可资助用户从海量日志中对攻击日志举行聚类剖析�,�,�,�,,�,找出有价值清静事务�,�,�,�,,�,可“规则”�?�?�?�?橹刑砑右蛔橛Windows SMB远程代码执行漏洞有关的关联剖析规则�,�,�,�,,�,监视网络中爆发的Windows SMB远程代码执行误差MS17-010事务�,�,�,�,,�,实现“事中”预警�,�,�,�,,�,并自动以邮件或短信(需有短信接口)的方法通知用户实时掌握攻击态势�。。�。�。�。�。若是您需要我们查杀WannaCry病毒或咨询其他问题请与南宫NG娱乐泰合北斗效劳团队联系�。。�。�。�。�。
1、 通过“事务”�?�?�?�?榫傩“事后”审计
在“事务”剖析�?�?�?�?橹�,�,�,�,,�,可指定恣意要害字举行模糊检索�,�,�,�,,�,也可以指定事务的条件举行准确盘问�。。�。�。�。�。如设定盘问条件:最近7天、目的端口为445�,�,�,�,,�,即可快速盘问出清静治理平台治理资产规模内�,�,�,�,,�,恣意源地点会见目的地点445端口7天规模内的所有数据�。。�。�。�。�。
还可对盘问效果按恣意事务属性进一步聚焦剖析�,�,�,�,,�,如可凭证盘问效果中的源地点或目的地点等条件统计排名�,�,�,�,,�,进一步挖掘事务的影响规模�,�,�,�,,�,凭证事务爆发时间和源地点与目的地点的比照�,�,�,�,,�,追踪蠕虫病毒撒播的轨迹�。。�。�。�。�。
2、 通过基于威胁情报的关联剖析
南宫NG娱乐泰合清静治理平台可与威胁情报相助组织(天涯友盟)互通�,�,�,�,,�,将攻击源提交给情报机构举行研判�。。�。�。�。�。另外还可获取外部威胁情报机构“Windows SMB远程代码执行误差”的威胁源列表�,�,�,�,,�,在关联剖析历程中引入威胁情报�,�,�,�,,�,提升清静事务预警的准确度�。。�。�。�。�。在“规则”�?�?�?�?樘砑右蛔橛隬indows SMB远程代码执行误差有关的关联剖析规则历程如下:
1)在视察列表中�,�,�,�,,�,添加“SMB威胁情报源”�,�,�,�,,�,将SMB外部威胁情报源的数据导入平台已建设好的视察列表中�,�,�,�,,�,作为外部情报数据使用�。。�。�。�。�。
2)在规则�?�?�?�?橹�,�,�,�,,�,添加“L2_ADS_SMB可疑会见事务”�,�,�,�,,�,此规则条件为:事务名称包括SMB 并且包括蠕虫病毒、装备类型最先于清静装备、响应为允许、发明、忽略�,�,�,�,,�,设置要领截图如下:
通太过析规则自动将SMB蠕虫病毒可疑会见的源地点添加到视察列表“SMB威胁情报源”中�,�,�,�,,�,作为内部情报数据使用�。。�。�。�。�。
3)添加“L3_MC_ MS17-010SMB远程代码执行误差”�,�,�,�,,�,条件如下:事务名称最先于TCP_Windows SMB远程代码执行误差�,�,�,�,,�,且事务名称中包括MS17-010、装备类型最先于清静装备、响应为允许、源地点引用视察列表“SMB威胁情报源”
将告警品级设置为“高”�,�,�,�,,�,并自动将告警详细通过邮件或短信通知给相关职员�。。�。�。�。�。
(泉源:南宫NG娱乐)
京公网安备11010802024551号