如何为 Heartbleed (CVE-2014-0160) 攻击创建自定义报告

步骤

1. 转到监视器 > 自定义报告, 然后单击新建
2. 输入报表的名称并配置以下值:
   • 数据库: 威胁摘要
   • 时间框架: 最近24小时
     
     
     
3. 根据需要选择要在报表中显示的列。
4. 在 "查询生成器" 下, 配置以下查询:

   "(threatid eq 36416) 或 (threatid eq 36418) 或 (threatid eq 40039)"

注意:在最后一个快照中, 时间框架已被更改为最后一个日历日, 因为已启用计划.

以下是三威胁 ID 号的说明:

• 36416: OpenSSL TLS 心跳信息泄漏漏洞-Heartbleed
  此签名分析请求和响应长度以查找异常.   由于此签名分析和比较的数据, 这就要求服务器易受攻击。  它对单个 "探测器" 有效, 这意味着它不需要大量的触发请求。
• 40039: OpenSSL TLS 心跳蛮力-Heartbleed
  此签名在高心跳请求率上触发.   这并不要求服务器易受攻击, 因为它只查看客户端, 但是它需要多个心跳请求来指示更多的 "真实世界" 攻击, 因此单个 "测试探测器" 不会触发签名。
• 36418:发现 OpenSSL TLS 格式错误的心跳响应-Heartbleed
  此签名在错误的服务器响应中触发.   由于此签名分析和比较的数据, 这就要求服务器易受攻击。  它对单个 "探测器" 有效, 这意味着它不需要大量的触发请求。

所有者︰ jjosephs