我这边有个客户在测试SIP安全态势感知,开始部署后效果显著,嗖嗖嗖的检查到一大堆的已失陷主机。但是问题就在于客户这边对这些服务器都做了杀毒操作,防范操作之类的,总之搞了一大轮之后,在平台上满意地给服务器打上已处理,但是服务器仍然显示已失陷,这个客户现在就比较疑惑了,那到底我做的这一系列操作到底有没有效果呢,为什么我这边操作了杀毒了,还是显示已失陷。
后来我了解到的是,这个已失陷的等级是,这台服务器的历史记录,就是说它这边曾经是这样的,就会以历史的日志来评等级,那么问题就来了,那现在不就是不给它改过自新,成为好孩子的机会了吗? 客户这边的想法是,既然我这边点击了已处理,那么它应该是以重新检测的情况来给服务器打等级,虽然观察情况,可以按照400这边给出的意见,只关注待处理终端,但是毕竟,这个【已失陷】的标志比(未处理)这三个红字要鲜艳的多,就是是客户领导来查看,难道也要给他们领导解释一遍,我们这边这个已失陷是历史记录,已处理的也会显示的,应该看待处理终端,这其实就无形给运维者一种压力,他们也不好向领导展示他们的工作成果。 我这边的建议是,最好这个终端风险等级能做一个动态的变化,(我知道你们的意思是留着这个历史记录可以方便知道问题主机的曾经的情况),可以在点击已处理后清理等级,或者说处理完一周后再变更,这样会不会更清楚。让运维的网管人员也可以方便展示他们的工作成果。 |