×

【每日一记11】AF日常安全运维——常见安全问题分析
  

新手107995 99425人觉得有帮助

{{ttag.title}}
本帖最后由 新手107995 于 2020-9-29 20:54 编辑

这里分享一点复习SCSP时的一些个人笔记,也便于个人工作时对AF的安全运维以及问题处理
内容偏复习重点哈

=============


安全运营中心

1.安全运营中心自动每小时就会进行对客户网络状况的评估:
共分为
风险评估——动态保护——监测与分析——待办事件



2.安全运营中心主要关注“待办事件”即可
“待办事件”包括业务和用户策略防护风险,威胁情报预警与处置等
有如下常见风险事件
  2.1业务入侵风险——紧急事件!
        解决方法:①、举证——查看源代码,清除被篡改内容;检查后门防止入侵
                         ②、检测是否配置安全策略,确保有效防护

  2.2业务和用户策略防护风险——安全策略未配置正确,存在防护缺失

====================

业务安全

分为四个状态:已被入侵、曾被攻击、曾被收集信息、存在漏洞



已被入侵属于紧急重点关注的事件:
1、黑链 2、webshell后台 3、webshell文件访问等事件

        解决方案:根据事件中的举证日志进行处理
        
        黑链事件:
        方法1:确认举证内容,查看源代码,清除被篡改内容;检查后门防止入侵
        方法2:检查后门防止入侵
        
        webshell文件访问:
        方法1:查看服务器日志,查找webshell上传记录以修补漏洞
        方法2:删除木马文件
        方法3:确保服务器在防火墙上,已启用web应用防护功能
        
        webshell后门:
        方法1:根据webshell后门路径删除后门
        方法2:封堵后门访问者的IP
        方法3:确保服务器在防火墙上,已启用web应用防护功能
        
曾被攻击——次紧急事件
说明有被持续攻击的事件,但没被入侵成功
        
        解决方案:
        方法1:查看攻击源IP发起时间和频率,判断此IP有威胁,封堵后门访问者的IP
        方法2:查看攻击源IP的地域归属,不需要这个地域访问就通过地域访问控制阻断
        
曾被收集信息
说明有被持续扫描的事件,还没被入侵成功,【且无后续攻击事件】
属于非紧急事件,有潜在威胁

        解决方案:
        方法1:封堵IP
        方法2:地域封堵
        方法3:配置防扫描
        
存在漏洞
无外部攻击,但是被AF检查出来了,非紧急事件

        解决方法:
        方法1:与业务维护部门确认是否存在漏洞,点击指南按方案升级打补丁
        方法2:漏洞防护策略是否正确配置,模板配置“业务保护场景”,动作拒绝
        
===========

用户安全

分为四个状态:已确定、高可疑、中可疑、低可疑

已确定——紧急事件,建议立即处理;用户与已知的恶意软件关联的URL、域名、IP
通信的日志被举证或其他行为
高可疑——次紧急事件,建议立即处理,确认威胁;用户有高危行为,外发dos攻击、访问DGA
动态生成的域名
中可疑——非紧急事件,视情况处理;主机会主动下载一些危险或者恶意文件,但主机
未感染
低可疑——检测到主机会用恶意软件常用协议或未知协议,有异常流量跑在非标准端口
非紧急事件,无需立即处理,观察即可。

        解决方法:
        方法1:下载“僵尸网络查杀软件“,在受病毒感染的计算机上安装”反僵尸网络“
        软件,运行“病毒扫描”功能清除僵尸主机病毒
        方法2:建议清除病毒首周继续观察,是否仍被检测为僵尸主机
        方法3:确认僵尸网络是否开启,动作为拒绝,默认是允许

打赏鼓励作者,期待更多好文!

打赏
16人已打赏

新手031815 发表于 2020-9-30 10:52
  
感谢分享
新手741261 发表于 2020-10-1 21:11
  
感谢分享
新手517842 发表于 2020-10-1 21:54
  
感谢分享
新手780102 发表于 2020-10-2 08:11
  
感谢感谢
新手741261 发表于 2020-10-2 08:23
  
感谢分享
新手031815 发表于 2020-10-2 08:33
  
感谢楼主分享
新手899116 发表于 2020-10-3 10:32
  
打卡学习
sxfusr 发表于 2020-10-3 16:13
  
打卡学习
新手078326 发表于 2020-10-4 14:00
  
支持支持
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
技术笔记
【 社区to talk】
每日一问
干货满满
新版本体验
产品连连看
GIF动图学习
2023技术争霸赛专题
技术咨询
功能体验
通用技术
秒懂零信任
安装部署配置
原创分享
技术晨报
自助服务平台操作指引
每周精选
标准化排查
排障笔记本
玩转零信任
深信服技术支持平台
社区新周刊
POC测试案例
信服课堂视频
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人