Web安全—安全事件的分析思路详解(安全设备) 提要:不管是在平常的安全设备运维,还是HVV,还是蓝队等,安全设备(WAF,防火墙,IDS,IPS,态势感知等)的日志分析都尤为重要。 安全事件的分析思路: 一:判断事件真实性和准确性分析 1.判断事件是否是正常业务触发的告警 2.判断事件真实性,是否存在误报(是否存在恶意payload) 二:判断攻击是否成功 借助响应包,关联事件,相关会话日志(HTTP访问日志和会话日志)判断攻击者当次攻击是否成功 三:判断主机是否有异常行为 以被攻击IP为源IP进行事件查询,查看是否存在异常行为或对其他主机的攻击行为
本文详细阐述了在网络安全中,如何利用WAF、防火墙、IDS、IPS等安全设备的日志进行事件分析。首先,通过判断事件是否由正常业务触发及是否存在误报来评估事件真实性。其次,借助响应包和关联日志判断攻击是否成功。最后,通过查询被攻击IP的行为来确定主机是否存在异常活动。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
