椒图设备
1、在椒图平台日志分析中result字段表示的含义是?
答:拦截结果;0表示已拦截,1表示未拦截。
2、在椒图平台中如何配置针对服务器非白名单账号和登录IP的监控?
答:通过威胁检测—异常登录—违规登录—登录规则设置,添加白名单账户和IP。
3、在椒图平台下发web类安全策略需要使用哪个功能?
答:安全防护—功能设置
4、在椒图平台日志分析中P字段是攻击者IP还是受害者IP呢?
答:攻击者IP
5、告警分析中,payload大概在什么位置?
答:通常在请求包中的请求头url中,post数据包也可能存在。
6、什么告警不难很快分析出来?
答:部分sql注入因为无明显回显,所以不能很快的分析出来。
7、分析中心有什么日志?
答:告警日志、原始日志、终端日志。
8、Referer字段是什么?
答:Referer是HTTP请i求header中的一部分,当浏览器向web服务器发送请求时,头信息里包含Referer字段。
9、如何确定web攻击是真实攻击还是误报攻击,从多角度回答,举例说明?
答:真实攻击查看请求报文和响应报文。比如:sql注入,特殊字符,比如and、or、union、select,再查看响应码为200,且出现success等字样。
10、.护网期间,如果客户的流量特别大,面对很多条告警应该去首先关注筛选哪些的告警?
答:1、 遇着这种情况一方面优先分析成功告警的,再分析成功之外的其他高危告警,如webshell、命令执行、shell连接等。最后分析剩余告警, 同时对于攻击频率较高的攻击ip及时上报封禁,可有效减少告警量。