1、安全事件预警
最近,泰合北斗服务团队在某能源企业内网部署的启明星辰泰合安全管理平台上又双叒叕发现“Wannacry病毒”活动的踪迹。从“Wannacry病毒”事件发生至今已时隔3个多月,出现这条告警信息,对大部分用户来说也许不是一个新鲜事,但在某能源企业内网中出现该事件,那绝对是值得关注的事情。“Wannacry病毒”一发作之前,早在今年4月16日,泰合北斗服务团队就发布了《启明星辰泰合安全管理平台针对最新NSA黑客工具泄漏事件的应急处置指引》
(http://mp.weixin.qq.com/s/QoHUyoLw_osVEgPkk17MQQ),介绍了NSA工具集和受影响的Windows系统版本,以及可被恶意攻击者利用SMB、RDP、IIS等服务漏洞进行攻击的行为和需要采取的防范措施。泰合北斗服务团队也在安全管理平台上设置了针对该病毒事件的监测分析预警规则,对各类日志进行实时监控与分析。
2、安全事件发现
前不久,某能源企业用户收到了启明星辰泰合安全管理平台产生的 “L3_MC_永恒之蓝蠕虫病毒连接”告警信息。
3、安管平台事件分析过程
那么启明星辰泰合安全管理平台是如何准确发现内网中有永恒之蓝“Wannacry”病毒活动事件并及时进行预警的呢?
泰合安全管理平台的核心功能是收集用户业务环境中各类设备的安全日志,在采集层对日志进行过滤、归并、范式化、补全等一系列ETL数据处理过程,对日志数据进行降噪,保留有效数据;然后在平台分析处理层进行自动化、智能化的关联分析,发现真实的安全威胁,并协助运维人员对安全告警进行处置。
1)安全日志的采集
用户在网络环境中构建了纵深的安全防御体系,包括入侵防护系统(IPS)、抗拒绝服务攻击、WEB应用防火墙(WAF)和状态检测防火墙。泰合安全管理平台收集了用户网络环境中重要业务服务器、核心网络设备、全部安全设备和主要应用系统的安全相关的日志数据。
2)安全日志ETL处理
泰合安全管理平台对接收到的日志进行范式化解析,对原始日志中的重要字段进行提取,对日志中缺少的关键信息进行了补全。
◆ 对原始日志内容进行提取:对原始日志中的源地址、源端口、目的地址、目的端口、目的对象、操作、结果、响应信息进行了提取。
◆ 对事件属性进行自动补全:根据泰合北斗服务人员对现场业务的了解,对日志中没有体现出来的信息进行了补全,如对事件分类、报送日志的设备地址、设备类型、设备厂商、设备型号、网络区域、网络位置等日志中缺失的信息在日志范化过程中进行自动补全。
3)事件关联分析
北斗服务人员在泰合安全管理平台创建 “L3_MC_永恒之蓝蠕虫病毒连接”的分析规则,关联规则分析场景的可视化编辑界面如图所示:
通过日志解析与补全,对日志中的关键信息,如“目的地址”和“请求域名”等进行了提取。日志中请求内容为www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,请求的域名与已定义的恶意域名中的情报内容匹配,目的地址为104.17.39.137,与已定义“永恒之蓝IP”的威胁情报内容匹配(目前泰合产品本部已与天际友盟建立合作伙伴关系,泰合安全管理平台3.0版本可以自动从天际友盟获取恶意IP、URL、域名、Mail等情报信息,大大提升了安全事件分析的精准度)。
4)事件追溯与统计
在安全管理平台上可快速对触发告警原始日志进行追溯,对受感染设备进行查询统计。
4、告警响应与处置
采集到的日志经过ETL处理后,将事件流转发至安全管理平台内存中进行实时分析,当事件条件匹配关联规则,就会触发对应的告警。告警包括告警名称、告警等级及告警的详细描述等关键信息。根据用户的运维管理制度要求,在安全管理平台产生的告警,需要根据告警的等级按照告警处理流程进行排查和处理,并在平台上跟踪处理进度。
本案例中,针对平台产生的“L3_MC_永恒之蓝蠕虫病毒连接”告警,泰合北斗服务人员建议用户按照启明星辰官方的处置方案进行解决:
1、立即隔离已感染病毒的主机,使用专门的检测工具进行病毒查杀。
2、对全网主机进行补丁检查,全面升级系统补丁。
3、为防止某些内网主机无法访问互联网而造成病毒传播,可在内网的DNS服务器上手工新增主机记录,将域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com指向内网IP。
(来源:启明星辰)
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
