Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISAC情資自動化新增 - Coggle Diagram
ISAC情資自動化新增
情資分析
角色
來源
外部
內部
同案場
對象
跨機構
3個案場以上
同區域
北/中/南
同目標
惡意中繼站
一般對象
累計3次
可疑對象
VirusTotal: 三分以上
ISAC 自訂清單
AbuseIPDB
手法
弱點掃描
網頁攻擊 / XSS / SQL Injection / ...
掃描探測
僅確認主機存活或port有無開放
其他
dos / flood
時間
短時間
定義??? 日內??
一個月
三個月
腳色分析
來源x外部對象
外對內攻擊
欄位: 來源端, 事件清單, 客戶清單, 事件名數量, 客戶數量, 總事件數量
來源x內部對象
內對外
內對內
目的x外部對象
內對外攻擊
目的x內部對象
外對內 or 內對內
關聯動作
查詢IP狀況
新增黑名單
新增情資
情資交換
流程規劃
取得最新事件
目標顯示"多個"的如何進一步確認?
統計SRM近30天數據
針對外部腳色
從資料庫抓30天內資料
檢測外部IP
新增/更新資料
情資結構範例
外部主機對[跨/南部某]機關進行[掃描探測/弱點掃描/X]攻擊
多機關內部主機連線[惡意網域/惡意中繼站IP/可疑目標]
[南部某/多]機關[短時間內/x]遭受[DDOS/大量連線/阻斷服務]攻擊
執行流程
預處理
產生特徵分類
依角色建立資料結構集
資料結構
KEY: 腳色IP
統計分析