提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

二、基础排查:确认升级路线以及基本配置

|

问题描述

SIP版本升级之后,安全事件减少。

告警信息

可能原因:
1、升级版本生成安全事件机制变动--如果是58之前的版本升级58之后版本,正常情况安全事件即会减少,58前只有安全事件模块,而58开始在日志检索之前分别分层设置了安全事件和安全告警,所以整体事件数量会有所下降;
2、SIP&STA没有授权--检查核对授权是否有效;
3、日志设置改变--检查日志设置是否有勾选记录日志;
4、SIP配置了白名单--检查并移除白名单
5、磁盘空间占满
6、升级版本规则库以及引擎优化--可转L2;
7、日志接收或者解析异常--可转L2。

有效排查步骤

1、确认设备升级前后版本
如果是58之前的版本升级58之后版本,正常情况安全事件即会减少,58前只有安全事件模块,而58开始在日志检索之前分别分层设置了安全事件和安全告警,所以整体事件数量会有所下降;
2、sip以及探针序列号是否过期
检测序列号是否过期,序列号过期会导致规则库&检测引擎无法检测。务必确保平台和探针序列号都在有效期:
平台序列号

探针序列号
3、日志设置是否改变;

4、是否有白名单
关于白名单:(58之后64之前的版本,配置位置如下图):
1.安全白名单,加白之后不会生成告警和事件,安全日志还是会有;
2.审计白名单,加白后不会生成生成审计日志,但是还是会生成告警和事件;
PS:SIP64版本,STA36(旧架构)或者35(新架构)之后版本(sip和sta版本必须都大于以上版本)审计白名单移到探针上,加审计白名单不产生日志也不产生告警
5、磁盘空间是否足够

解决方案

若以上步骤未解决您的问题,可收集以下信息将问题流转L2:
联系技术支持建议提供以下信息:
1、从哪个版本开始升级:
2、故障影响范围:
3、安全事件明显减少最早时间:
4、设备版本信息:
5、内网主机访问恶意域名测试情况:

操作影响范围

我要分享
文档编号: 219405
作者: admin
更新时间: 2023-01-05 17:29
适用版本: