1、SQL注入类告警该怎么处理?
答:根据数据包回显,判断注入是否成功,如果成功可以直接上报研判,如果没有成功,但一直在尝试攻击,我们也可以上报研判,进行封禁IP。
2、SQL注入告警有什么特征?
答:请求报文中有特殊的sql字符,比如,and、or、id=1、updatexml、select、union等。
响应报文中有一些sql回显,就比如一些错误回显或者登陆成功的回显。
3、怎么在告警里面判断是否有sql注入?
答:请求报文中有特殊的sql字符,比如,and、or、id=1、updatexml、select、union等。
响应报文中有一些sql回显,就比如一些错误回显或者登陆成功的回显。(同上)
4、告警成功该怎么去处理?
答:首先要判断告警是否有效,如果是有效的话,我们可以直接上报给研判组。
5、告警日志的分析思路
答:首先要收集所有的告警日志,然后我们对收集的告警日志进行全面分析,根据告警的重要性和紧急程度确定告警的等级,然后我们再持续对告警日志进行监控和分析。
6、网络攻击类告警该怎么判断?
答:首先要确认目的资产是不是公司资产,如果不是就可以忽略;
然后再次判断总体的告警次数多不多,如果多就需要重点关注;
最后再看攻击载荷是否出现登陆成功的关键字,就如success等。
7、如何判断无效告警,使用安全设备?
答:可以通过特征规则将无效告警、误报告警过滤掉;
通过对告警日志进行研判分析,从中找出真实有效的攻击事件。
8、代理工具类告警怎么判断?
答:排除业务人员私自搭建代理的可能;
植入服务器之前,必定存在漏洞利用的情况,就比如文件上传、命令执行等漏洞;
查看受害资产所有的告警,确定再代理告警前后没有其他告警。
9、