部署安装前前期调研:
NDR:全流量高级威胁检测:
NDR是一款专门围绕"高级威胁检测"为核心,主打全流量采集、快速检测、威胁定位、研判溯源、联动闭环
一体化的专业流量检测系统;内置ATT&CK检测模型、UEBA2.0、AI2.0引擎、威胁情报引擎进行多维度漏斗式
检测机制,精准检测各种新型/未知威胁,如隐秘隧道通信、加密流量检测、内网异常行为\违规访问、新型高
危漏洞利用攻击等
登录安全感知平台(SIP):
直连设备eth0口访问https://10.251.251.252,本地PC配置10.251.251.0/24网段IP,登录安全感知平台,
默认账号密码是admin/admin。
资产梳理:资产入库-资产更新-风险识别-资产离线-资产退库
1、部署在本地的业务:
-
功能描述
-
操作系统
-
IP地址(内网和互联网)
-
开放端口(内网和互联网)
-
域名(如有)
-
是否核心资产或者与护网目标相关
-
Web系统特征(数据库、中间件,脚本语言类型和版本)
-
责任人及联系方式
2、部署在互联网的业务系统:
-
公有云web系统,在本地资产的收集要素上,添加"是否购买云WAF",云主机不填写内网IP和端口
-
微信公众号:公众号名称,微信号,类型(查询号/宣传号),查询网址(即存在链接至本地或其他地方服务器地址),责任人及联系方式
-
微信小程序:小程序名称,查询网址(即存在链接至本地或其他地方服务器地址
3、产品清单(安全产品,网络产品)
-
名称
-
品牌
-
软件版本
-
IP地址
-
部署位置
-
功能描述
-
维保到期时间
4、数据及文档:
-
网络拓扑
-
IP地址规划表
-
单位互联网出口IP地址表,包括总部和各个自建出口的分支
5、人员资产:
-
信息部组织结构
-
各个对接人员职责分工(系统,网络,安全)及联系方式