提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

二、基础排查:SIP安全事件误报

|

问题描述

sip安全事件误判

告警信息

可能原因:
1、sip以及探针版本过低--建议升级SIP3.0.58以上,STA3.0.29版本以上;
2、授权过期--核对授权有效期;
3、规则库以及引擎不是最新--将规则库和引擎更新到最新;
4、安全事件/安全告警模块进程异常--根据日志进一步分析;
5、风险终端为dns服务器或者其它代理服务器--找到对应安全事件,查看源是否为dns服务器、域控或者邮件服务器,确认是以上某一类型服务器的话,这些服务器都是有代理功能,需要进一步确认来定位内网真实的服务器。

有效排查步骤

1、sip是否为58及以上版本,探针是否为3.0.29以上版本;


2、sip以及探针序列号是否过期
检测序列号是否过期,序列号过期会导致规则库&检测引擎无法检测。务必确保平台和探针序列号都在有效期:
平台序列号
探针序列号
3、规则库以及引擎不是最新版本
平台规则库版本:
平台引擎版本:

sta规则库版本:

4、安全事件/安全告警模块进程是否异常;
检查探针和sip是否有错误日志,可能存在关键日志进程没起来导致误判


5、找到对应安全事件,查看源是否为dns服务器、域控或者邮件服务器,确认是以上某一类型服务器的话,这些服务器都是有代理功能,需要进一步确认来定位内网真实的服务器。
6、在一些其它威胁情报查询网站上针对服务器请求的域名查看是否为恶意,网站如下:
微步:https://x.threatbook.cn(最常用)

解决方案

若以上步骤未解决您的问题,可收集以下信息将问题流转L2:
1、故障现象描述:SIP上误报
2、故障发生时间:出现有一段时间了
3、故障影响范围:不影响业务,需要确认是否误报
4、故障前做过的操作:未有做任何操作(升级)
5、设备详细版本信息:SIP3.0.58r,STA3.0.29
6、关键日志:

操作影响范围

我要分享
文档编号: 219707
作者: admin
更新时间: 2023-01-05 17:29
适用版本: