AlienVault 資安稽核整合平台

全新設計SNMP掃描機制，於舊有網路管理系統的掃描方式截然不同，將能更有效的提升掃描效率，使系統在環境設備辨識上，有了更好的處理能力，管理者能夠經由制定好的掃描範圍中，快速的找尋到網路設備的相關資訊，亦可將設備加入至所要管控的清單之中，對其進行更多的資訊安全管理，或搭配802.1x協定，達到更為全面性的網路安全防護。

Case 1 / 內部主機連到惡意網站

·         相關設備：Checkpoint防火牆(日誌) & AlienVault 威脅情資系统

·         情境說明：

1.      內部主機疑似被安裝後門程式，並向外部惡意網站回傳資料

2.      內部主機進行一般網頁瀏覽時，網頁中可能有嵌入惡意網站的廣告頁面

·         處理方式：

1.      確認外部惡意網站是否仍存在危險性

2.      檢查內部主機是否被植入惡意程式並予以清除

3.      評估可能造成的損害，立即更換密碼或重新安裝系统

Case 2 / 寄件者來自惡意IP

·         相關設備：Checkpoint防火牆(日誌) & AlienVault 威脅情資系统

·         情境說明：

1.      疑似外部惡意主機發送郵件至內部主機

·         處理方式：

1.      確認內部主機是否有提供郵件服務

2.      追查外部發信主機是否異常

3.      確認郵件是否寄送成功，並通知收件者檢查郵件是否異常，或是直接刪除

4.      若檢查為惡意郵件或郵件已開啟，應進行惡意程式清除與評估可能造成的損害

Case 3 / 網頁攻擊

·         相關設備：入侵防禦設備 & AlienVault 弱點掃描資料庫

·         情境說明：

1.      網頁伺服器遭受駭客進行網頁攻擊，例如

§  執行指令

§  竊取密碼

§  竊取資料庫資料

·         處理方式：

1.      確認網頁攻擊是否成功，評估可能造成的損害

2.      立即補強所有網頁弱點，並重新執行弱點掃描

Case 4 / 阻斷服務攻擊

·         相關設備：入侵防禦設備

·         情境說明：

1.      遭受駭客進行阻斷服務攻擊(UDP Flooding)

·         處理方式：

1.      評估阻斷服務攻可能造成的損害

2.      若有必要，將攻擊IP列入防火牆短期封鎖清單

Case 5 / 網路掃描攻擊

·         相關設備：入侵防禦設備日誌Log

·         情境說明：

1.      DNS伺服器遭受大量域名查詢

·         處理方式：

1.      確認來自該主機之域名查詢要求是否合法

2.      若有必要，將攻擊IP列入防火牆短期封鎖清單

Case 6 / 暴力密碼破解攻擊

·         相關設備：主機系统日誌Log or AlienVault Short

·         情境說明：

1.      網頁伺服器所開啟之檔案傳輸服務，在短時間內遭受密集地嘗試登入

·         處理方式：

1.      確認所嘗試的帳號是否為合法帳號，且密碼是否有被猜中的情況發生

2.      要求客戶設定較複雜的密碼，並定時更換

3.      若有必要，限制每個帳號可連線之IP