提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

一、问题概述:升级之后安全事件减少思路概述线

|

问题描述

SIP版本升级之后,安全事件减少。

告警信息

可能原因:
1、升级版本生成安全事件机制变动;
2、升级版本规则库以及引擎优化;
3、SIP&STA没有授权;
4、磁盘空间占满&日志设置改变&白名单
4、日志接收或者解析异常。

有效排查步骤

1、确认升级之前以及升级之后的版本,sip和sta是否有授权;
2、确认缺少的安全事件具体是哪一类事件;
3、内网不重要主机测试访问恶意域名是否生成安全事件;
4、日志检索查看是否存在告警日志,确认该日志是否会生成安全事件;
5、确认需要查询的内容索引是否关闭,确认es是否正常。

解决方案

1、从哪个版本开始升级:
2、故障影响范围:
3、安全事件明显减少最早时间:
4、设备版本信息:
5、内网主机访问恶意域名测试情况:
6、es日志解析情况:
7、根据文档排查情况:

操作影响范围

我要分享
文档编号: 219403
作者: admin
更新时间: 2023-01-05 17:29
适用版本: