深信服安全感知平台SIP运维手册amp;应急处理手册_V3.0.64.pdf

可三三三三三三

E@6

0、cCo

SIP

，”(-b

SIP3.0.64

个-B*D

45O

企怎险

企敬告

个小心

企注意

上说明

5不-

口上日目吕占思忆之第局品局

深信服安全感知平台SIP产品运维手册密级:公开

处置建议;

联系应用开发部门进行确认是否正常业务行为,若非正常业务行为进行分析触发原因

并处置

正常业务行为造成的暴破可通过业务部门调整业务代码和加白处置，加白方式如下:

源IP:填写爆破源IP或可访问微软云主机IP组

目的IP;填写

日志类型，漏洞利用攻击/口令暴力破解攻击;SMB审计日志

〈待验证)

新增据名单

源IP9

目的IP:

到算/URL本半二

三志江型，党溪J儿攻斌/广令姑刀惑地攻击SM涝

潜刁万LU

生下资产.:全部4

内由训代.的让

同上四:

3、根据攻击趋势图如果触发频率较低可以选择对该事件忽略不通过加白过滤流量。

趋势图通过账号暴破事件查看如下;

文档版本01(2022-04-15)84

深信服安全感知平台SIP产品运维手册密级:公开

主机对内网发超账号暴破攻击革古三光

jP:107-JSBB-LZR-CI10.S4.142.89-

本到

详细信息

访问赵势(次)

0习节:09-08

和部:

所和RS-14

12.1.4.主机对外网发起账号暴破

事件描述，攻击者6对:8443/v3/report发起

web账号暴力破解攻击〈失败，持续时间从2020-10-2009:45:11到2020-10-20

10:24:57，总暴破次数38。爆破次数超过阔值，判定为暴力破解。

事件描述详池

二35发web了有9必击SEE，日=和

所的详刁

2

“贡生为

Re技5时间兴2C20-1-2008:4551弄2020-1P-2102457

芝导村$扩，许请j下【TCP20《用二必或冤本可STR)

入下产硬3从登Rp间

565284279173c9807124bfef。2SEX2020-10-231024