记录一些告警与排查结果
重大活动期间,摸鱼式使用态势感知。
远程控制
Flux V1.0远控
1.通过IP地址定位到具体使用人和设备后,是兄弟公司员工在打游戏,手机杀毒后,在防火墙给目的IP加了黑名单。
僵木蠕
挖矿回连活动事件
1.通过IP地址定位到具体使用人和设备后,是旁边某办公室的同事在浏览器看电视剧,误点了广告链接。告知详细情况后建议他换个网站。
隧道通信
检测到NATAPP穿透软件域名访问
1.通过IP地址定位到具体使用人和设备后,发现是在用移动代理服务器发业务短信,标记为计划内行为。
2.通过IP地址定位到具体使用人和设备后,发现是用笔记本电脑下在联想某APP,标记为计划内行为。
违规应用
检测到即时通信流量(Jabber)
1.通过IP地址定位到具体使用人和设备后,排查发现是楼上的同事在手机上用浏览器看电视剧,告知详细情况后建议他换个网站。