@苏苏
2年前 提问
1个回答

网络运维安全会话审计哪些内容

Andrew
2年前

网络运维安全会话审计内容包括以下这些:

  • HTTP会话审计:从流量中还原HTTP会话数据,并根据会话特征进一步深度解析HTTPBBS访问、HTTP网页标题、HTTP威胁情报、HTTPDGA域名(DGA域名库、机器学习)、搜索关键词及其他HTTP会话等,数据中至少包含请求方法、返回值、主机名、网页地址、用户代理、语言、服务器类型等数据。

  • DNS会话审计:从流量中还原DNS会话数据,并根据会话特征进一步深度解析DNS威胁情报、DNSDGA域名、DNS解码错误、DNS解析错误、DNS解析超时,数据中至少包含请求域名(FQDN)、DNS服务器地址、DNS服务器端口、请求返回解析地址等信息。

  • FTP会话审计:从流量中还原FTP会话数据,数据中至少包含登录用户、传输文件名以及操作命令等信息。

  • Telnet会话审计:从流量中还原Telnet会话数据,数据中至少包含登录用户以及操作命令的实际内容等信息。数据库会话审计从流量中还原主流数据库会话数据,如Mysql、SQLServer、Oracle等主流数据库,数据中至少应包含登录用户名、操作命令(抓取SQL语句)等信息。

  • 邮件会话审计:从流量中还原邮件会话数据,包括POP3,SMTP、IMAP协议,数据中至少包含收件人、发件人、主题、附件名称等信息。

  • TLS会话审计:从流量中还原TLS会话数据,主要针对SSL/TLS握手部分(非加密),数据中至少包含服务器及客户端证书、服务器名称等信息。

  • 工控会话审计:从流量中还原应用协议为IEC104、MMS、MODBUS、OPC、OPCUA、EthernetIIP和CIP的工控会话,数据中包含工控会话的MODBUS的功能码、功能描述,支持解析IEC、EthernetIIP和CIP的命令等信息。