Please enable JavaScript.
Coggle requires JavaScript to display documents.
阿順小幫手, 匯入資產, 匯入弱點 - Coggle Diagram
阿順小幫手
自動化
弱掃平台
每月單位月報
:warning:更新每季定期掃描的排程與資產狀況
bug: 沒定期排程的時候會掛掉
更新資產表
更新弱點狀況
每周mail
各單位修補狀況變化
定期掃描狀況
偵測網段的弱掃server是否有設定
ISAC
:warning:分享情資
分享情資後下個動作會掛掉,有modal關不掉
:check:自動更新自訂清單(黑名單)
:check: 更新各FW最後更新時間
每周mail
超過一周未更新FW清單
各單位一周內是否有更新黑名單
授權Token過期(如果有的化)
更新黑名單歷程
市府
同步府內設備清單
同步用戶清單
防毒報告匯入
防毒發現病毒自動列管
Nessus
Nessus弱點匯入
自動通知該單位的資安聯絡人
WSUS
硬碟使用狀況
清潔精靈最後執行時間(每天都要跑)
信箱
外部主機攻擊事件 => 去log server查詢府內30天內連線
NCERT
自動更新攻擊成功清單線上excel
查詢ip
外部IP
黑名單狀況
第三方資訊
isac黑名單
網段所屬GSN
共同
事件狀況
資安事件列表
入侵成功事件
isac/soc事件
府內,公所IP
設備資訊
伺服器資訊
網段所屬單位
用戶資訊
弱掃資產
其它
防火牆流量(限市府)
弱掃平台
資產管理
網段管理
伺服器管理
單位管理
人員管理
資產管理
匯入
匯出
暫停
刪除
拆成AB表
A: 資產表(sysName合併的那種,避免導致sysName極易變動的問題)
B: 資產資訊(用特徵值作為唯一值)
編輯
(同步更新到平台)
圖表
修補狀況
區域
單位
資產
佳璋
指定時間範圍總數據
區分區域
其他控制
掃描失敗的全部重新掃描
區域聯防ISAC
依時間範圍統計
累計派送防火牆規則計XXX次
阻擋主機惡意中繼站連線XXX次
設定統計範圍 自107年7月起截至110年5月
接獲N-ISAC區域聯防情資件數共XXX筆
累計防火牆主動更新黑名單計XXX次
(不管當天多少台FW更新,一天更新多少次,一天算一次)
:check: FW更新清單
加入黑名單
設計Log機制
匯入資產
驗證
是否使用ssl
ip與dn解析是否一樣
外網是否連線的到
ip是否連的到
跳轉後還是同網站
弱掃平台是否連線的到
拆分AB表
A: 結構如平台匯入資產表的表格
會多筆資產合併成一筆的格式,
主要是為了避免不小心異動systemName導致弱點對不上的問題
B: 個細節資產的驗證狀況
內外網若不一致,以外網為主
DB
A: 平台資產格式 + 唯一特徵 + CRUD時間
暫停時間、網站暫停
B: 唯一特徵、實際管理者、
最後跳轉(url、狀態碼、IP)、內部IP(僅南市府)
若不掃主機
可掃完後刪除主機弱點,
但缺點是該IP過往相同弱點紀錄也會一起被刪除
將IP臨時導去不存在的IP,
但資產是IP、DN、網段、sysId綁定的,
會導致本期掃出來的弱點會綁訂到錯誤的IP
若不掃網站
只會有主機弱點,
當網站恢復的時候,主機弱點是否會受影響?
之前沒注意到,所以應該不會吧?
匯入弱點
被刪除的弱點怎麼處理?
註記刪除
弱點紀錄其實我只更關注未修補、已修補,
中間過我不在意