依据威胁产生的流量行为,TDA侦测情况.pptx

TDA日志中的告警信息怎么得来的？check more this requestTDA的日志怎么传送到TMSP的？请对整个运转过程概述一下。TMSP是怎么分析原始日志的数据得出结果的？日志中严重性是根据什么来区分的？几个检索引擎（检测者：网络内容关联分析技术）的工作原理是什么？TMSP出现的告警为什么在日志有部分是查找不到？原始日志都没有的主机，在TMSP里面竟然有。 如何看懂TDA原始日志，请在日志中举例一条具体分析。BOT命令里的数字是指？如何得来的？客户要自定义过滤某个病毒规则ID或者把其加入黑名单，具体要怎样做？don’t support this requestTDA是怎样判断网络上的信息是病毒或者非病毒。TDA日志中的告警信息怎么得来的？TDA 告警高量報警模式: 检测潜在安全风险通知 — TDA 檢測到潛在安全風險時進行通知 ,可以依據1)進出流量方向 2)時間段 3)數量 4)潛在威脅類型進行設定通知 检测已知安全风险 —TDA 檢測到已知安全風險時進行通知 ,可以依據1)進出流量方向 2)時間段 3)數量 4)潛在威脅類型進行設定通知 检测高风险客户端 — 各个 IP 地址的检测数在設定時間段达到阈值时進行通知高网络通信量 — TDA 可以自動偵測一天24 小時內每個時段的流量或管理設定网络通信流量时，當超過閥值設定通知嚴重安全風險通知: 偵測到威脅日誌屬於高風險日誌進行通知高危告警:高危病毒報警(爆發遏止服務): 屬於已知病毒,當TDA 偵測到病毒是屬與高危性病毒,TDA 會啟動 病毒爆發遏制功能 ,寄出及時通知,這類型病毒會在病毒名稱前加上OPS_告警通知是由TMSP 觸發,所以需要在TMSP 上設定TDA的日志怎么传送到TMSP的？请对整个运转过程概述一下*接收层:TMSP前端应用服务器，负责提供门户网站,威胁仪表板和日志接收等功能*应用层:数据分析服务器，负责提供管理控制台，数据分析，报表生成，通知等功能*数据层:后台数据库，负责提供数据存储和优化Threat Event Logs IP Address, Hostname, MAC Threat Detected Details of the threat TimestampDisruptive Appl Logs IP Address, Hostname, MAC Application detected Timestamp Rsync over SSHRsync over HTTPSTMSP是怎么分析原始日志的数据得出结果的？在TMSP 中有一個分析規則表,在這個表中記錄分析的條件,例如ICID 1 代表的意思是同一個IP 封包有TDA 規則38威脅日誌超過5個,同時流量的方向是”internal”,協議是TFTP/FTP,帳號是”administrator”,判斷這個IP在進行FTP 暴力破解攻擊威脅類型分析規則威脅說明風險等級報表產生:日志中严重性是根据什么来区分的？高風險定義:零日攻擊漏洞,漏洞攻擊封包有很大危害性的後續行為(DDOS, Information stealer)快速傳播的特性(high no. of infection count)中風險定義: 偵測出可能是惡意代碼的行為低風險定義:間諜軟件/廣告軟件相關行為不具高度惡意但是又屬於不尋常的事件 - 多次登入嘗試不安全的應用 - 使用系統預設的帳號,使用MSSQL 使用”SA”帳號..信息性定義: - Phishing emails - adware spyware monitored sites - suspicious emails and links.几个检索引擎（检测者：网络内容关联分析技术）的工作原理是什么？LogStatisticsEvent info檔案掃描比對已知病毒代碼庫Trigger info/File descriptorFileScanNCCEEvent log count特徵與TDA內建黑名單比對檔案資訊比對,例如檔案名稱與存在路徑File descriptor封包重組Packet ScanByte Stream ScanSession info若是有檔案進行檔案重組傳送NCIE 的偵測內容去NCCE進行黑名單比對Trigger info/File descriptor/Captured FileFileStoreByte Stream blockTSEFSETrigger infoSession infoByte Stream block例如TDA rule 18Session infoNCIETrigger info網路蠕蟲封包分析網路內容分析與TDA規則進行比對 TMSP出现的告警为什么在日志有部分是查找不到？原始日志都没有的主机，在TMSP里面