天眼安全设备的使用

May 25, 2023 1615

1.天眼产品架构

组成

天眼=IDS+WAF+数据库审计系统+上网行为审计+内部合规审计

-三个重要组件(流量传感器、文件威胁鉴定器、分析平台)

\流量传感器**:采集与还原流量信息,还原应用协议信息,记录文件传输行为、邮件行为与数据库行为,检测入侵行为与web攻击行为。(旁路模式)旁路阻断的三种方式:①URL重定向:http_redirect、②IP阻断:tcp_reset、③DNS重定向:dns_redirect

\文件威胁鉴定器**:文件静态检测、动态检测,分析文件行为。

\分析平台**:威胁感知系统:基于云端情报的木马发现机制、展示本地已经遭受入侵的IP;回溯搜索:对历史被攻击情况的回溯,能够对本地镜像流量进行大数据存储和检索。

检测机制与日志留存机制

a. 同时检测攻击请求报文和攻击响应报文,能够给出攻击结果的精准判断:企图、成功、失陷、失败。

b. 结合本地流量及云端大数据威胁情报进行检测。

c. 对网络中传输的文件进行还原,基于沙箱的静态及动态检测,可以检测通过网络传播的恶意文件。

d. 同时记录攻击告警日志及网络会话日志,可以准确还原告警发生时的上下文网络会话。

e. 能对历史网络流量进行回滚分析和检测,从而发现早期已经潜伏在网络中的攻击。

天眼平台的典型部署

image-20230928161010998

流量传感器-沙箱:6666 流量传感器-分析平台:7755 沙箱-分析平台:9955

2.天眼告警类型

警告类型:企图、成功、失陷、失败

3.天眼菜单类别

威胁感知 调查分析 场景化分析 日志检索 资产 报表 安全服务 系统管理

4.天眼语法

检索常见字段

字段 含义
dip 被攻击的 ip
dport 被攻击的端口
sip 源ip
sport 源端口
uri 请求的 url 地址
data 请求包的正文内容
status 响应包的状态码
host 域名

图片示例

image-20230525232122251

1)基本搜索语法

字段:

项 运算符 字段:项

运算符:

AND 运算符(AND、&& 或 +)、OR 运算符(OR 或 ||)、NOT 运算符(NOT、! 或 -)。(注意:运算符一定要大写!!)

项:项(单词),短语(””),分组(优先运算符-将字符串括在括号 ( ) 中)

字段:

通用字段:sip,dip,dport,sport,serial_num

协议字段: sql_info,up_payload,proto,dns_type,addr,uri,status, method,agent,data,server_name,attach_md5,db_type,normal_ret, ret_code,host

2)高级检索

通配符:? 匹配单个字符,* 匹配0到多个字符。(注意:通配符不能用作数字检索,使用时不能加双引号!)

范围搜索:[ TO ] 表示端点数值包含在范围内,{ TO } 表示端点数值不包含在范围内,可以混合使用。也可写作:>、<、<=、>=。

模糊搜索:(~),项的末尾使用波浪符号,即可执行模糊搜索。即使搜索项拼错或仅指定部分单词也找出匹配项的搜索(使用时不能加双引号!)

近似搜索:短语后面加上(~),可以搜到被隔开或顺序不同的单词

正则搜索(性能较差)、转义搜索(转义特殊字符)、二级检索(在原有搜索语句进行二次搜索)

3)注意事项

a.范围要精确

b.尽量使用字段搜索(模糊搜索会在全日志里面匹配,速度和精确度大大下降)

c.通配符不要用于数字的检索,使用通配符时不能加双引号

d.使用模糊搜索时不能加双引号

e.范围可用于搜索数值 / 时间 / IP 类型的字段

f.关键字尽量不要包含特殊符号

5.天眼安全事件处理

判断告警还是误报

image-20230525232652931

内网挖矿告警处理

如何确认被挖矿

image-20230525233051268

如何进行处理

image-20230525232806919

sql注入告警

image-20230525232912535

webshell告警

image-20230525233212647

文件上传告警

image-20230525233318335

image-20230525233345282

命令执行告警

image-20230525234832404