科全流量安全分析设备常用的功能如下:
1、警报
警报是新版科来中提供的一个新功能,虽然并没有作为主打的功能,因为其中的误报还是比较多的,由于工作地点并没有什么对外开放网站,因此在这一块不清楚web攻击的监测如何。
在工作环境中,遇到过内部漏扫,不过由于界面显示的缘故,其实时效性会差不少,因此在拥有其他安全设备的情况下,科来的警报功能建议作为辅助功能使用。
2、回溯分析
这边是比较常用的溯源分析的功能,在设定时间以及要溯源的IP之后,就可以在回溯分析中看到那段时间的,流量趋势图以及包的协议、负载量等具体的数据。
3、日志分析
科来把抓取的所有的日志进行了分类:HTTP、DNS、邮件、数据库、FTP、远程访问、加密会话、ICMP 这几个分类选项。
因为在工作的过程中,由于华云设备比较紧缺,无法看到是否有钓鱼邮件等情况,因此科来老哥和我说他们的日志分析是可以看到邮件的,同时还能看到恶意的DNS访问的情况。
4、回查分析
肯定有人和我刚开始一样,搞不清楚回查分析和回溯分析的区别在哪里。
其实在我的理解中,回溯分析对于指定单个IP的流量包溯源是比较有用的,也是平时我们会用的最多的情况。
但是如果攻击链如果比较大,需要去比较其中的关系的话,回查分析就会有用多,它可以导入IP,同时也允许你自己构造攻击链的情况进行分析,由于在工作地点那边并没有机会用上这个功能,因此并没有去尝试或者去展示回查分析的厉害之处。
5、专家分析
这个应该是科来中最主打的功能,这个入口可以在上面任何一个栏目进入,在其中可以看到详细的包的协议以及包的内容,是在整个护网行动中看的最多的东西。从包的内容中去判断明文传输、弱口令甚至是恶意DNS请求等一些不合规的情况。但是这个需要有一定经验的人去判断和分析。
以下来简单的展示一下科来的使用方式,不涉及分析包的内容。
一、科来流量告警
告警不是主要功能,告警功能主要基于数据流量以及数据包提取特征为主。
WEB攻击可以直接看流量包,不用进行专家分析
二、回溯分析
首先可以进入回溯分析,输入IP,则可以看到他的协议以及流量分布图
然后把协议全选,右键如图
可以根据需求进行流量数据包分析
三、日志分析
在日志分析中可以看到DNS、邮件等各种类型的日志记录。也可以通过这里进入专家分析。
四、回查分析
快速查询和之前的查询很像,主要也是通过这种方式来进入专家分析
后面的统计查询等,需要自己建立条件,来进行查询,并非是单个IP的查询
备 注
科来这个版本新增了告警的功能,其主要的使用点依旧是专家分析溯源,在告警、溯源分析等页面中都可以进入专家分析中查看最详细的日志以及流量情况。还有就是查找之前,时间一点要记得调整。
