×

AF防护勒索病毒策略配置建议
  

深信服安全产品研发 Lv4发表于 2017-5-16 08:59

Wannacry勒索软件席卷全球,深信服智安全之NGAF持续担当,新发布两个实用新技能,帮您快速识别和定位内部潜在被感染风险的主机和已被感染的主机,助您快速应对、及时止损!

一、扫描内部网络,发现潜在被Wannancry病毒感染风险的主机

1.首先,确认“威胁情报与处置库”更新至2017-5-14版本:

12.jpg

2.其次,进入“威胁情报预警与处置”功能主页面:

2.jpg

3.点击【设置】按钮,对需要进行扫描的网段、IP组进行选择:

3.jpg
4.jpg
前提:保障NGAF到被扫描网段的网络可达。

4. 点击wannacry病毒威胁情报的『立即防护』按钮:

5.jpg

5.点击『开始扫描』开始检测潜在被Wannancry病毒感染风险的主机:

6.jpg

6、风险处理建议:
如存在风险主机,建议立即更新系统补丁,防范风险;更新方法,详见:http://sec.sangfor.com.cn/vulns/314.html
如不存在风险主机,则认为扫描网段的系统,暂时不存在被Wannacry感染的风险!

二、发现已被wannnacry病毒感染的主机

1.首先,确认“入侵防御漏洞特征库”更新至2017-5-15,(该库即可判断被Wanncry感染主机的行为特征):

7.jpg

2.其次,观察入侵检测的日志:

8.jpg

3.处理建议:

如果日志条目漏洞名称中出现“Wannacry”字样,则说明该主机非常可能已被Wannacry勒索病毒感染。建议您使用杀毒软件查杀。


三、总结
        通过深信服NGAF上述两个实用新技能,可以帮助您快速识别和定位内部网络中的潜在被感染及已被感染的风险,为您的及时应对赢得时间。同时,建议你及时更新NGAF各规则库,以便及时应对新风险!

更多的防护建议,请参考:

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

fjqx Lv3发表于 2017-5-21 17:35
  
本帖最后由 fjqx 于 2017-5-21 17:36 编辑

顶起………………