提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

二、基础排查:规则误判的分析方法

|

问题描述

安全日志误判分析方法

告警信息

可能原因如下:
1、安全防护策略配置错误——检查安全防护策略源目的区域、网络对象等配置是否正确
2、业务不规范导致的误判——分析数据包
详细操作方法可以参考下列有效排查步骤说明

有效排查步骤

规则误判的分析方法:
1、检查基本配置,WAF的配置参考检查安全策略的配置,IPS的配置只需要注意方向即可,用户防护策略只能选择保护客户端的模板;业务防护策略只能选择保护服务器的模板。注意,自定义模板一般不要把模块全选。
错误配置,模块不要全选
2、分析数据包
     如果是WAF策略,首先检查HTTP头部是否正常,必须要存在的头部有:请求方法(GET、POST等)、URL(/aa/a.html)、HTTP版本(HTTP1.1)、HOST(www.sangfor.com)。
如下图数据包,基本信息里面请求方法和URL识别不到,基本可以判断该数据包非HTTP流量,需要跟进客户确认17000端口是否只有HTTP流量。注意协议复用的情况,比如8080端口既有HTTP的流量,又存在客户私有TCP协议的情况,也会导致解析出错误判。
更多案例参考:
基本信息识别不到请求方法和URL,确认误判

数据包内容无HTTP头部,确认误判



日志提示系统命令注入,但是看数据包内容是图片格式,base64编码后传输,被强行解码导致的误判。



解决方案

以上步骤未解决您的问题,可收集以下信息问题流转L2:
1、故障现象描述:
2、故障发生时间:
3、故障影响范围:
4、设备部署模式及网络拓扑:
5、设备版本信息:
6、相关安全日志或者数据包:
7、初步排查结果:

我要分享
文档编号: 234261
作者: admin
更新时间: 2023-01-05 17:29
适用版本: