Cisco Cisco Firepower Management Center 2000 User Guide
42-3
FireSIGHT 系统用户指南
第 42 章 事故处理
事故处理基本信息
FireSIGHT 系统中的事故跟踪功能还包括状态标记,您可以修改此状态标记,指出哪些事故已经
升级。
升级。
沟通
所有事故处理流程都应指定事故处理团队和内外受众之间进行事故沟通的方式。例如,您应该考
虑哪些类型的事故需要管理人员干涉以及需要哪个级别的管理人员干涉。此外,流程应该规定如
何及何时与外部组织沟通。某些事故是否需要通知执法机构?如果您的主机正在参加针对远程站
点的分布式拒绝服务 (DDoS),您是否要通知它们?您是否希望与计算机紧急事故响应小组协调
中心 (CERT/CC) 或 事故响应与安全组织论坛 (FIRST) 共享信息?
虑哪些类型的事故需要管理人员干涉以及需要哪个级别的管理人员干涉。此外,流程应该规定如
何及何时与外部组织沟通。某些事故是否需要通知执法机构?如果您的主机正在参加针对远程站
点的分布式拒绝服务 (DDoS),您是否要通知它们?您是否希望与计算机紧急事故响应小组协调
中心 (CERT/CC) 或 事故响应与安全组织论坛 (FIRST) 共享信息?
FireSIGHT 系统具备可用于收集诸如 HTML、 PDF、 CSV (逗号分隔值)等标准格式入侵数据的
功能,让您能够轻松与他人共享入侵数据。
功能,让您能够轻松与他人共享入侵数据。
例如, CERT/CC 在其网站上收集有关安全事故的标准信息。 CERT/CC 寻找可以从 FireSIGHT 系
统轻松提取的各类型的信息,例如:
统轻松提取的各类型的信息,例如:
•
有关受影响的机器的信息,包括:
•
主机名和 IP 地址
•
时区
•
主机的用途或功能
•
有关攻击源的信息,包括:
•
主机名和 IP 地址
•
时区
•
您是否与攻击者有任何接触
•
处理事故的估算成本
•
事故的描述,包括:
•
日期
•
入侵方法
•
涉及的入侵者工具
•
软件版本和补丁级别
•
任何入侵者工具输出
•
被利用的漏洞的详细信息
•
攻击源
•
任何其他相关信息
您还可以使用事故的备注部分记录您何时以及与谁沟通了这些问题。
控制和恢复
您的事故处理流程应明确指出主机或其他网络组件受到危害时采取哪些措施。控制范围和恢复选
项包括从向易受攻击的主机应用补丁到关闭目标并将其从网络移除。您还应该按照攻击的性质和
严重性考虑保留证据的重要性,以备提出刑事指控。
项包括从向易受攻击的主机应用补丁到关闭目标并将其从网络移除。您还应该按照攻击的性质和
严重性考虑保留证据的重要性,以备提出刑事指控。
您可以使用 FireSIGHT 系统的事故功能记录您在事故的控制和恢复阶段采取的行动。
学习到的经验
每个安全事故,无论是否攻击成功,都是一个审核安全策略的机会。您是否需要更新防火墙规
则?您是否需要采取更加结构化的补丁管理方法?未授权无线接入点是否构成新的安全问题?每
个学到的经验都应反馈到安全策略中并帮助您更好地准备处理下一事故。
则?您是否需要采取更加结构化的补丁管理方法?未授权无线接入点是否构成新的安全问题?每
个学到的经验都应反馈到安全策略中并帮助您更好地准备处理下一事故。