Wie man einen eigenen Bericht für heartbleed (CVE-2014-0160) Attacken erstellt

Schritte

1. Gehen Sie zu Monitor > kundenspezifische Berichte und klicken Sie auf neue
2. Geben Sie einen Namen für den Bericht ein und konfigurieren Sie folgende Werte:
   • Datenbank: Bedrohungs Übersicht
   • Zeitrahmen: Letzte 24 Stunden
     
     
     
3. Wählen Sie bei Bedarf die Spalten aus, die im Bericht angezeigt werden sollen.
4. Unter Query Builder konfigurieren Sie folgende Abfrage:

   "(threatid EQ 36416) oder (threatid EQ 36418) oder (threatid EQ 40039)"

Hinweis: in diesem letzten Schnappschuss wurde der Zeitrahmen auf den letzten Kalendertag geändert, weil der Plan aktiviert war.

Im folgenden eine Beschreibung der drei Bedrohungs-ID-Nummern:

• 36416: OpenSSL TLS Heartbeat-Informationen zur Offenlegung der Verwundbarkeit-heartbleed
  Diese Signatur analysiert die Anfrage-und Reaktions Längen, um nach Anomalien zu suchen.   Dies erfordert, dass der Server aufgrund der Daten, die diese Signatur analysiert und vergleicht, verwundbar ist.  Es ist wirksam gegen eine einzelne "Sonde", was bedeutet, dass es keine Massen Anfragen zum Auslösen benötigt.
• 40039: OpenSSL TLS Herzschlag brutale Kraft-heartbleed
  Diese Signatur löst auf eine hohe Rate von Herzschlag-Anfragen aus.   Dies erfordert nicht, dass der Server verwundbar ist, da er nur auf Client-Seite schaut, aber es erfordert mehrere Heartbeat-Anfragen, die auf einen "realen" Angriff hindeuten, so dass eine einzige "testsonde" die Signatur nicht auslöst.
• 36418: OpenSSL TLS missgebildete Herzschlag Reaktion gefunden-heartbleed
  Diese Signatur löst auf einer fehlerhaften Server-Antwort aus.   Dies erfordert, dass der Server aufgrund der Daten, die diese Signatur analysiert und vergleicht, verwundbar ist.  Es ist wirksam gegen eine einzelne "Sonde", was bedeutet, dass es keine Massen Anfragen zum Auslösen benötigt.

Besitzer: Jjosephs