策略包在CDK套件中的应用

知识开发 置顶 精帖
收藏
3 1484
Sunny912
无间行者 未认证 2018-03-21 10:33:30
付费话题:0 积分

策略包是CDK套件中一系列系统资源的集合,导出后可在相同平台之间进行无缝迁移,通过策略包的导入导出可快速的实现系统资源的升级及项目成果的共享。

1.      策略包的组成部分

l  仪表板

仪表板用于将用户重点关注的安全事件通过面板的形式进行可视化的展示,多个面板组合在一个页面中即一个仪表板,便于用户同一时间关注。同时CDK套件还内置了丰富的仪表板用于分析和展示用户网络环境中的安全状况,用户也可以根据需求自定义自己的专属仪表板。

  


l  事件分析

        CDK套件内置了大量的事件分析场景,并通过树型结构进行了分类和归档。便于用户快速的对事件展开审计操作,同时还支持用户自定义分析场景。

       

l  智能分析

CDK套件内置了大量关联分析场景,如:漏洞分析、攻击入侵、违规行为、恶意代码等,通过这些内置场景的关闭与启动,可实时发现网络违规行为。通过关联分析引擎,用户可以灵活定制关联规则。


l  范化策略

        CDK套件针对各类设备和应用系统内置了丰富的日志解析规则,如:主机、数据库、应用系统、网络设备、安全设备等,为上层事件分析和数据展示提供了强大的数据支撑。同时还提供了可视化的编辑页面供用户自定义日志解析规则。


l  报表

CDK套件具有强大的报表分析功能,并内置了丰富的报表内容供用户预览和下载。通过报表分析引擎用户还可以对报表内容进行灵活定制。


2.      策略包导出

进入配置-数据-策略包,用户可以通过勾选操作对导出的策略包内容进行灵活选择。


3.      策略包导入

        进入配置-数据-策略包,点击浏览按钮提交本地存储的策略包文件,点击导入完成策略包的导入操作。

      

4.      策略包的简单应用

下面举个例子说明一下怎样利用cdk套件定制一个策略包来检测用户网络中是否存在利用高危漏洞: “WebLogicServer WLS 组件远程命令执行漏洞(CVE-2017-10271)”发起的攻击行为。

该漏洞产生原因是Weblogic“wls-wsat”组件在反序列化操作时,使用了Oracle官方的JDK组件中“XMLDecoder”类进行XML反序列化操作,从而引发了代码执行,攻击者主要针对/wls-wsat/CoordinatorPortType/wls-wsat/CoordinatorPortType11进行攻击,利用该漏洞通过发送精心构造的 HTTP 请求,获取目标服务器的控制权限。

a)      首先收集攻击事件日志特征

      Weblogic日志样本:

45.123.190.147 [27/10/2017 14:55:44] "POST /wls-wsat/CoordinatorPortType HTTP/1.1" 200 1760


      IPS日志样本:

      time:2017-12-26 09:29:50;danger_degree:2;breaking_sighn:0;event:[24174]WebLogic WLS 组件远程命令执行漏  洞;src_addr:45.123.190.147;src_port:51265;dst_addr:172.18.160.7;dst_port:80;proto:TCP.HTTP


b)      对收集的日志进行范化操作


c)      配置关联分析规则

  

d)      导出策略包更新用户现场


回帖
  • cyberguy
    2018-03-24 20:54:22

    使用策略包能方便容易监测到安全事件。非常有价值。  

    0 回复
  • Ethan
    2018-03-21 10:35:32

    策略包是安全知识共享的好载体,有助于提供标准化的安全服务。

    0 回复
  • 一辉
    2018-03-21 10:02:34

    策略包非常方便用户运维,只要在平台中导入策略包,无需配置就能应对相关安全场景。

    0 回复