安全事件误报

最新推荐文章于 2024-06-05 02:33:53 发布
最新推荐文章于 2024-06-05 02:33:53 发布
阅读量1.4k 收藏 6
点赞数 3
文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haorenshizhenhua/article/details/105239464
版权

记录安全事件误报的一次尴尬经历

发现问题

作为一名安全运维,整理当天日报是正常的工作。
整理数据时,通过soc平台发现某内网ip存在不正常流量,对某内网ip进行多手段攻击,涉及7种攻击手段,单日总事件量达到3000余次,基本判断ip存在异常,因为不太清楚具体设备,只能及时上报。

初步分析

攻击手段多样化,不存在中木马中病毒情况,更像是人已控制源ip对目的ip进行攻击,试探性进行漏洞挖掘。

厂商配合解决问题

源ip是某一家安全厂商的VPN,soc平台无法解析日志,需要厂商配合分析问题。厂商没有来之前,走了很多弯路,很尴尬。
初步分析两种可能,一:VPN账号被盗,黑客使用VPN拨号进入内网进行攻击,二:自身底层数据加固,为护网行动做基础。vpn厂商登陆VPN设备直接对安全事件发生时间段的系统日志进行分析,发现其中某一账号登录时间符合情况,该VPN账号是另一家安全厂商在使用,联系账号使用者确认是为了即将进行的护网行动在做漏洞验证,只是我作为安全管理员,不清楚情况而已。

结论

很尴尬,感觉自己误报了。又学到了很多知识,一定要和其他安全厂家及时沟通,要不然很尴尬的。

菜鸡石振华
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
常见网络安全事件研判方法及思路
m0_64197404的博客
11-25 1万+
常见网络安全事件研判方法及思路 分析安全事件通用方法 导出最近七天的日志(日志条件:源地址,目的地址,事件名称,时间,规则ID,发生 次数等) 将导出日志生成数据透视表(透视表制作办法见百度); 根据动作、地址、事件名称、时间等信息进行研判 说明:一般情况下,真实攻击不可能只持续一次,也不可能是断断续续,它一定是长时间、周期性、多IP的进行攻击。 通过威胁情报库https://x.threatbook.cn/对原IP地址分析,判断是否存在恶意攻击行为。 通过事件请求包和回应包分析是否为真实...
态势感知安全产品误报、漏报分析
diesuli9628的博客
09-17 2941
1.分析思路 正向分析——根据已有的高危、严重、中危、低危规则分析目前的规则制定的信息是否有效,本质上属于功能测试 黑盒分析——从爆出的告警日志分析,分析具体的攻击行为,根据产品具体日志信息,查看数据包内容,确定是误报。 正向分析出现的问题,已经做完功能测试,每条规则本身是生效的,那么存在问题,应该归为bug。攻击测试,本身规则不够,需要分析日志在规则中有没...
网络安全基础知识面试题库_内网攻击内网如何判断是否误报
Galaxy_0的博客
03-12 989
上。将强制性存取扩展到。
安全团队可能需要更详细的事件响应计划,以区分误报和真实威胁
最新发布
图幻未来的博客
06-05 883
总之,人工智能技术在网络安全领域的应用为提高事件响应能力提供了新的可能性。然而,要充分发挥AI技术的优势,安全团队还需要制定更详细的事件响应计划,并根据自身需求对计划进行优化。通过不断努力和实践,安全团队可以更好地应对日益复杂的网络安全挑战。AI赋能 创造无限可能在当前网络安全攻防中的存在多个问题,如依赖专家人工研判、手工溯源分析工作量大、处置效率低、复杂威胁难应对及人工经验难传承等,这些问题使得现有产品无法满足高强度攻防检测和运营需求。
网络故障案例及其解析
qq_43774239的博客
07-07 1044
一、故障排除思路 定位故障范围 ①全网性网络故障:可定位故障源在出口或核心区域; ②小范围网络故障:可定位故障源在离故障源最近的相应设备或链路; ③单点性网络故障:可定位故障源在故障源自身。 排除故障 ①总体上思路为“链路”à“配置”。 ②首先确认网络或相关设备是否出现人为变更; ③其次检查物理链路、设备是否正常; ④最后检查网络设备的相关属性或配置。 二、常用排错方法 1、网络设备 ①查看状态灯,包括 电源指示灯、状态灯、报警灯; ②感知设备的温度,检查设备是否温度过高。 2、物理链路 ①检查链路指示灯;
使用态势感知设备如何区分告警是否为误报
weixin_44214275的博客
08-05 2703
1、挖矿、蠕虫、病毒、拒绝服务这类不太可能为攻击方发起的攻击的事件,直接过滤掉,减少告警数量2、一般情况下,真实攻击不可能只持续一次,它一定是长时间、周期性、多IP的进行攻击用流量监测的安全设备,比如天眼,查看报文,分析报文里和 host 和网站目录路径,查看是否可疑,使用微步查询 host 是否为恶意,使用 wireshark 对数据包深度分析看一下请求的网站路径,源 IP 与目的 ip 地址,host 字段的值以及发包内容等。工具有 wearshark,网站的话微步在线。
安全事件分析思路及逻辑
qq_45099208的博客
06-15 1366
态势感知,WAF,防火墙,EDR,蜜罐等​ 防火墙:访问控制类产品,网络出现后的第一类安全产品​ 隔离内网、外网以及DMZ区并控制用户访问(DMZ:业务系统对外发布区,Web应用服务器,邮件服务器等)​ 通常工作在网络层,部署在网络边界或者重要系统边界​ IPS:入侵防御系统,访问控制类产品​ 发现攻击后,能够及时拦截阻断 对流经设备的网络流量进行分析、监控​ 由防火墙的地方就有IPS,通常串接在网络主干链路上,或者重要业务系统边界。
解决易语言空壳程序360误报
08-26
然而,在使用易语言编写程序时,尤其是空壳程序,可能会遇到安全软件如360的误报问题。空壳程序通常指的是不包含实际功能或核心代码的程序,它们可能被用于各种目的,包括但不限于测试、调试或恶意行为。360等安全...
误报模块源码
11-18
误报模块是软件系统中一个非常重要的组成部分,它的主要任务是确保系统在处理大量数据或执行复杂操作时,能够准确地识别出真正的异常情况,而不是被无意义的误触发事件所干扰。在这个源码包中,我们很可能是找到了...
论文研究-利用关联和风险评估方法减少误报和漏报.pdf
07-22
,利用构建的安全关联模型 ,计算出每个安全事件 (如告警事件、系统安全日志记录等 )的实时风险值 ,对风险值较高的事件给出新的警告 ,并摈弃那些风险值较低的事件 ,从而降低漏报和误报率。实验结果表明 ,利用这种方法...
安全事件管理自动化之路———坑与梯.pdf
08-11
安全事件管理自动化是现代信息安全领域中的重要组成部分,它旨在提高组织对安全威胁的响应速度和效率,减少由安全事件导致的损失。本文将探讨安全事件管理自动化过程中的关键环节,包括准备、检测与分析、遏制与根除...
如何在威胁检测调查中,区分误报和真实的威胁?
图幻未来的博客
03-08 912
本文旨在探讨在网络安全调查过程中如何识别并应对误报行为以保护企业免受不必要的损失和资源消耗。我们将讨论各种因素如恶意攻击、系统故障以及正常操作等可能导致误报的常见原因以及如何通过有效的策略来辨别它们之间的差异性;并提出一些实际可行的解决方法以提高企业在面临潜在的安全问题时做出更明智的决策。
什么是误报?如何识别误报和漏报
Trinity_Techologies的博客
05-17 6672
​不管开发人员技能多么精通,误报和漏报总是会发生,很可能是他们的代码有某种无意的错误或漏洞。为了确保尽早发现这些编码错误和漏洞,开发人员通常使用代码静态分析工具,工具会根据开发人员设置的规则检查代码。 然而,代码静态分析工具并不完美,工具有时也会出现误报和漏报。这些编码错误如果没有被捕获,可能会对代码产生显著的影响。 因此,我们将阐释什么是误报,概述误报和漏报的区别,并提供一个误报示例和和一个漏报示例。
网络安全基础知识面试题库
热门推荐
Algo_x的博客
03-06 1万+
1.基于路由器的攻击手段 源IP地址欺骗式攻击 入侵者从外部传输一个伪装成来自内部主机的数据包(数据包的IP是内网的合法IP) 丢弃所有来自路由器外端口,却使用内部源地址的数据包 源路由攻击 入侵者让数据包循着一个对方不可预料的路径到达目的地,以逃避安全系统的审核 丢弃所有包含源路由选项的数据包 源路由 是指在数据包中还要列出所要经过的路由。某些路由器对源路由包的反应是使用其指定的路由,并使用其反向路由来传送应答数据。这就使一个***者可以 假冒一个主机的名义通过一个特殊的路径来获得某...
未能有效区分误报和真实威胁
ZOMO的博客
12-30 1010
在现代网络安全中,防火墙是一个非常重要的组件。它可以帮助我们识别、过滤并阻止潜在的恶意流量。然而,在使用防火墙时,我们常常会遇到一个问题:如何有效地区分误报和真正的安全威胁?本文将对此问题进行分析和探讨,并提出一些解决方案。
网安面试三十道题(持续更新)
zzf011900的博客
12-15 1128
(3)客户端接收到来自服务器端的确认收到数据的TCP报文之后,明确了从客户端到服务器的数据传输是正常的,并生成最后一段报文,标志位为ack,返回序列号为seq=x+1,确认号为ack=y+1。2、第二次挥手:服务端收到 FIN 之后,会发送 ACK 报文,且把客户端的序列号值 + 1 作为 ACK 报文的序列号值,表明已经收到客户端的报文了,此时服务端处于 CLOSE_WAIT状态。跨域:绕过浏览器的同源机制叫做跨域,跨域的目的是,如果两个非同源的网站互相有交互数据的需求,那么就要跨域,跨域是可以控制的。
护网面试总结
shayebudon的博客
04-20 8722
怎么确定一个网站是不是站库分离 (1)查询web服务器名 LENOVO-GH*****—select @@servername; (2)查询数据库服务器名 DESKTOP-1HV****—select host_name(); 对比两个查询结果,即可判断。相同则同站同库,不同就是站库分离 知道那些防火墙设备 常见的 HW 设备有:公安部网防G01、K01、360网康/网神防火墙、微步威胁情报、安恒云-Web应用防火墙(玄武盾)、默安蜜罐、知道创宇蜜罐、山石防火墙 NGAF/NGFW:下一代 Web 应用防火
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值