AlienVault 資安稽核整合平台
● 結合Open Threat eXchange情資平台,第一時間進行完整防禦
全新設計SNMP掃描機制,於舊有網路管理系統的掃描方式截然不同,將能更有效的提升掃描效率,使系統在環境設備辨識上,有了更好的處理能力,管理者能夠經由制定好的掃描範圍中,快速的找尋到網路設備的相關資訊,亦可將設備加入至所要管控的清單之中,對其進行更多的資訊安全管理,或搭配802.1x協定,達到更為全面性的網路安全防護。
Case 1 / 內部主機連到惡意網站
· 相關設備:Checkpoint防火牆(日誌) & AlienVault 威脅情資系统
· 情境說明:
1. 內部主機疑似被安裝後門程式,並向外部惡意網站回傳資料
2. 內部主機進行一般網頁瀏覽時,網頁中可能有嵌入惡意網站的廣告頁面
· 處理方式:
1. 確認外部惡意網站是否仍存在危險性
2. 檢查內部主機是否被植入惡意程式並予以清除
3. 評估可能造成的損害,立即更換密碼或重新安裝系统
Case 2 / 寄件者來自惡意IP
· 相關設備:Checkpoint防火牆(日誌) & AlienVault 威脅情資系统
· 情境說明:
1. 疑似外部惡意主機發送郵件至內部主機
· 處理方式:
1. 確認內部主機是否有提供郵件服務
2. 追查外部發信主機是否異常
3. 確認郵件是否寄送成功,並通知收件者檢查郵件是否異常,或是直接刪除
4. 若檢查為惡意郵件或郵件已開啟,應進行惡意程式清除與評估可能造成的損害
Case 3 / 網頁攻擊
· 相關設備:入侵防禦設備 & AlienVault 弱點掃描資料庫
· 情境說明:
1. 網頁伺服器遭受駭客進行網頁攻擊,例如
§ 執行指令
§ 竊取密碼
§ 竊取資料庫資料
· 處理方式:
1. 確認網頁攻擊是否成功,評估可能造成的損害
2. 立即補強所有網頁弱點,並重新執行弱點掃描
Case 4 / 阻斷服務攻擊
· 相關設備:入侵防禦設備
· 情境說明:
1. 遭受駭客進行阻斷服務攻擊(UDP Flooding)
· 處理方式:
1. 評估阻斷服務攻可能造成的損害
2. 若有必要,將攻擊IP列入防火牆短期封鎖清單
Case 5 / 網路掃描攻擊
· 相關設備:入侵防禦設備日誌Log
· 情境說明:
1. DNS伺服器遭受大量域名查詢
· 處理方式:
1. 確認來自該主機之域名查詢要求是否合法
2. 若有必要,將攻擊IP列入防火牆短期封鎖清單
Case 6 / 暴力密碼破解攻擊
· 相關設備:主機系统日誌Log or AlienVault Short
· 情境說明:
1. 網頁伺服器所開啟之檔案傳輸服務,在短時間內遭受密集地嘗試登入
· 處理方式:
1. 確認所嘗試的帳號是否為合法帳號,且密碼是否有被猜中的情況發生
2. 要求客戶設定較複雜的密碼,並定時更換
3. 若有必要,限制每個帳號可連線之IP
FEATURES: |
AlienVault USM |
Traditional SIEM |
Management: |
||
Log Management |
Yes |
Yes |
Event Management |
Yes |
Yes |
Event Correlation |
Yes |
Yes |
Reporting |
Yes |
Yes |
Trouble Ticketing |
Built-In |
$$ |
Security Monitoring Technologies: |
||
Asset Discovery |
Built-In |
$$ |
Network IDS |
Built-In |
$$ |
Host IDS |
Built-In |
$$ |
Netflow |
Built-In |
$$ |
Full Packet Capture |
Built-In |
$$ |
File Integrity Monitoring |
Built-In |
$$ |
Vulnerability Assessment |
Built-In |
$$ |
Additional Capabilities: |
||
Continuous Threat Intelligence |
Built-In |
Not Available |
Unified Management Console |
Built-In |
Not Available |