@哈哈鱼
2年前 提问
1个回答
运维安全审计包括哪些
趣能一姐
2年前
运维安全审计包括以下这些:
HTTP会话审计:从流量中还原HTTP会话数据,并根据会话特征进一步深度解析HTTPBBS访问、HTTP网页标题、HTTP威胁情报、HTTPDGA域名(DGA域名库、机器学习)、搜索关键词及其他HTTP会话等,数据中至少包含请求方法、返回值、主机名、网页地址、用户代理、语言、服务器类型等数据。
DNS会话审计:从流量中还原DNS会话数据,并根据会话特征进一步深度解析DNS威胁情报、DNSDGA域名、DNS解码错误、DNS解析错误、DNS解析超时,数据中至少包含请求域名(FQDN)、DNS服务器地址、DNS服务器端口、请求返回解析地址等信息。
FTP会话审计:从流量中还原FTP会话数据,数据中至少包含登录用户、传输文件名以及操作命令等信息。
Telnet会话审计:从流量中还原Telnet会话数据,数据中至少包含登录用户以及操作命令的实际内容等信息。数据库会话审计从流量中还原主流数据库会话数据,如Mysql、SQLServer、Oracle等主流数据库,数据中至少应包含登录用户名、操作命令(抓取SQL语句)等信息。
邮件会话审计:从流量中还原邮件会话数据,包括POP3,SMTP、IMAP协议,数据中至少包含收件人、发件人、主题、附件名称等信息。
TLS会话审计:从流量中还原TLS会话数据,主要针对SSL/TLS握手部分(非加密),数据中至少包含服务器及客户端证书、服务器名称等信息。
工控会话审计:从流量中还原应用协议为IEC104、MMS、MODBUS、OPC、OPCUA、EthernetIIP和CIP的工控会话,数据中包含工控会话的MODBUS的功能码、功能描述,支持解析IEC、EthernetIIP和CIP的命令等信息。