一、安全运营日常研判SOP流程图
该文档为安全运营中日常研判流程,主要包括告警信息在监控组、研判处置组、业务部门之间的流转关系:
二、日常研判注意事项
1)退回工单的情况
a)信息不全-->退回“监控组”,备注:未明确研判内容,请监控组同步告警类型、初步研判分析内容、结果以及需要研判处置组分析研判的内容;
b)存在关联事件已处理事件-->退回“监控组”,备注:请监控组加强研判,历史事件无需研判;
c)SSH爆破-->退回“监控组”,若源IP为本公司IP,请监控组先联系源IP业务部门确认是否业务操作,确认非业务操作再联系研判处置组应急处置;若源IP非本公司IP,请监控组按照“3)封堵IP事项”处理;
d)访问微蜜罐--> 监控组: 若源IP为本公司IP,请监控组先联系源IP业务部门确认是否业务操作,确认非业务操作再联系研判处置组应急处置;若源IP非本公司IP,请监控组按照“3)封堵IP事项”处理;
e)访问高交互蜜罐,若明显无任何攻击特征--> 退回“监控组”,备注:请监控组加强研判,提供payload信息。
注:若被频繁退回无价值工单,可酌情判定监控组工单骚扰行为。
2)攻击行为处理方式
a) 攻击行为--> 若源地址为客户资产--> 通知“监控组”,备注: 源地址为客户资产,通知客户整改,24小时不整改执行关停操作;
b) 攻击行为--> 若源地址为境外IP--> 通知“监控组”,备注:请封堵境外IP:xx.xx.xx.xx;
c) 攻击行为--> 若源地址非本公司IP(攻击行为不明显)--> 通知“监控组”,备注:源地址非本公司IP,攻击行为不明显,继续观察;
d) 攻击行为--> 若源地址为非本公司IP(攻击行为明显,或微步中存在明显风险标签)--> 通知“监控组”,备注:请封堵IP:xx.xx.xx.xx;
e) 攻击行为--> 若源地址为本公司IP--> 通知“监控组”,备注: 源IP为XX部门,存在危险行为,请联系业务部门确认是否业务操作行为;
f) 攻击行为--> 若源地址为国内CDN的IP--> 通知“监控组”,备注: 源IP为国内CDN,继续观察。
3)封堵IP事项
a) 攻击告警来源WAF,需封堵的IP,请监控组联系WAF负责人在WAF封堵,封堵期限为24小时;
b) 其他来源告警需要封禁的IP,请监控组联系网络组全网封禁,封堵期限为15天;
c) 国内CDN的IP不封。
4)攻击行为不明显
a) 仅访问一个敏感目录,再无其他攻击特征;
b) 单一账号爆破,低于30次/分钟或200次/小时;
c) 仅访问一个敏感端口,再无其他攻击特征;
注:若有不好判断的情况,也请及时上报。
题外话:本文只是临时起意,根据需求草草编辑,当然这肯定不是原文,毕竟与人办事守其密。不同企业的组织架构不一样,流程也是会不一样,因此本文仅是提供网络安全运营中日常研判工作的一种思路。
Taps:
1)扫描关注微信,设为星标。 2)下载地址:微信公众号回复"aqyylc"获取文档下载. |