1、100台机器如何判断哪台被log4j攻击成功
看响应包和响应码确实不可靠,因为规则库的检测是比较死板的,首先你和客户确认一下资产属性,哪部分使用了log4j的相关组件,哪部分资产是正常业务行为,排除部分无关联资产,然后再检索攻击成功事件里的日志,查看响应体里的内容是否命令执行了,带有敏感数据等等。
2、只能看web的日志,注入的sql注入的攻击,网站响应都是200,怎么判断是否攻击成功
这个存在正常业务误报的可能,首先确认资产属性,哪些是业务哪些是外部流量这个和客户确认,其次再看外部流量的返回包是否有数据,检索一段时间内的日志,看是否是短期的攻击流量。
3、拿到了一个攻击IP,但是在全流量设备上未告警,怎么确定攻击,是什么攻击?
接上一个问题:全流量设备没有告警,没有样本,那你怎么找到攻击样本(在失陷主机上)?
未告警不代表没有对应的日志记录,同样的需要在设备上检索日志,根据数据包来判断攻击类型,如果检索不到对应日志,那么就是流量不全或者设备规则库未覆盖到相关的资产。第二个问题,如果它就是没有落地文件的,那就找不到攻击样本。全流量设备上找不到的日志可以在其他设备上查看,比如防火墙,如果还没有,那就有误报的可能了。