Wie man einen eigenen Bericht für heartbleed (CVE-2014-0160) Attacken erstellt
Wie man einen eigenen Bericht für heartbleed (CVE-2014-0160) Attacken erstellt
7023
Created On 09/26/18 13:52 PM - Last Modified 06/02/23 08:52 AM
Resolution
Schritte
Gehen Sie zu Monitor > kundenspezifische Berichte und klicken Sie auf neue
Geben Sie einen Namen für den Bericht ein und konfigurieren Sie folgende Werte:
Datenbank: Bedrohungs Übersicht
Zeitrahmen: Letzte 24 Stunden
Wählen Sie bei Bedarf die Spalten aus, die im Bericht angezeigt werden sollen.
Unter Query Builder konfigurieren Sie folgende Abfrage:
"(threatid EQ 36416) oder (threatid EQ 36418) oder (threatid EQ 40039)"
Hinweis: in diesem letzten Schnappschuss wurde der Zeitrahmen auf den letzten Kalendertag geändert, weil der Plan aktiviert war.
Im folgenden eine Beschreibung der drei Bedrohungs-ID-Nummern:
36416: OpenSSL TLS Heartbeat-Informationen zur Offenlegung der Verwundbarkeit-heartbleed Diese Signatur analysiert die Anfrage-und Reaktions Längen, um nach Anomalien zu suchen. Dies erfordert, dass der Server aufgrund der Daten, die diese Signatur analysiert und vergleicht, verwundbar ist. Es ist wirksam gegen eine einzelne "Sonde", was bedeutet, dass es keine Massen Anfragen zum Auslösen benötigt.
40039: OpenSSL TLS Herzschlag brutale Kraft-heartbleed Diese Signatur löst auf eine hohe Rate von Herzschlag-Anfragen aus. Dies erfordert nicht, dass der Server verwundbar ist, da er nur auf Client-Seite schaut, aber es erfordert mehrere Heartbeat-Anfragen, die auf einen "realen" Angriff hindeuten, so dass eine einzige "testsonde" die Signatur nicht auslöst.
36418: OpenSSL TLS missgebildete Herzschlag Reaktion gefunden-heartbleed Diese Signatur löst auf einer fehlerhaften Server-Antwort aus. Dies erfordert, dass der Server aufgrund der Daten, die diese Signatur analysiert und vergleicht, verwundbar ist. Es ist wirksam gegen eine einzelne "Sonde", was bedeutet, dass es keine Massen Anfragen zum Auslösen benötigt.