第五章 營運管理指標
第三節、 關聯分析規則品質指標
三、 規則停用數量
(表 13 )是規則觸發統計的範例,可以看出排名第一的規則,是需要優先檢 討的對象。相同的規則在不同的環境,也會有不同的表現,因此需要就實際的運 作環境,作為調整規則的依據。
表13 規則觸發數量統計表
TOP3發佈客戶 89
行政院衛生署- ○醫院 27
○發展協會 21
○電視-資訊安全分析監控服務案 16
55 內對內主機大量連線遭防火牆阻擋內對內主機大量連線遭防火牆阻擋
TOP3發佈客戶 51
○局 14
TOP3發佈客戶 89
行政院衛生署- ○醫院 27
○發展協會 21
○電視-資訊安全分析監控服務案 16
55 內對內主機大量連線遭防火牆阻擋內對內主機大量連線遭防火牆阻擋
TOP3發佈客戶 51
○局 14
表14 事件處理結果範例
序號
序號 單號單號 類型類型
處理結果處理結果 1
1 HD0000000666061HD0000000666061 對外部大量主機連線被對外部大量主機連線被FWFW阻擋阻擋 查無可疑程式查無可疑程式,,使用者有自行安裝使用者有自行安裝webshotswebshots軟體軟體,,應該為此軟體所導應該為此軟體所導 致致
22 HD0000000667744HD0000000667744 內對內主機大量連線遭防火牆阻擋內對內主機大量連線遭防火牆阻擋 於於172.19.1.102172.19.1.102的host的host中發現中發現172.18.1.2 172.18.1.2 localhostlocalhost紀錄紀錄,,疑似為連線的原疑似為連線的原 因
因,,已經先將此筆紀錄移除已經先將此筆紀錄移除
33 HD0000000667745HD0000000667745 對外部大量主機連線被對外部大量主機連線被FWFW阻擋阻擋 為為FortiGuardFortiGuardAnalysis and Management Service contract validationAnalysis and Management Service contract validation之連之連 線行為
線行為 4
4 HD0000000668487HD0000000668487 對外部大量主機連線被對外部大量主機連線被FWFW阻擋阻擋 為為McAfee Site AdvisorMcAfee Site Advisor連線行為連線行為 5
5 HD0000000670599HD0000000670599 內對內主機大量連線遭防火牆阻擋內對內主機大量連線遭防火牆阻擋 為為VmwareVmwareESX Server,ESX Server,應為合法連線行為應為合法連線行為 6
6 HD0000000673175HD0000000673175 對外部大量主機連線被對外部大量主機連線被FWFW阻擋阻擋 查無可疑程式查無可疑程式,,使用者有使用者有Skype,Skype,應該為應該為SkypeSkype所導致所導致 7
7 HD0000000674020HD0000000674020 對外部大量主機連線被對外部大量主機連線被FWFW阻擋阻擋 查無可疑程式查無可疑程式,,使用者有使用者有Skype,Skype,應該為應該為SkypeSkype所導致所導致 88 HD0000000674291HD0000000674291 內對內主機大量連線遭防火牆阻擋內對內主機大量連線遭防火牆阻擋 為為VmwareVmwareESX Server,ESX Server,應為合法連線行為應為合法連線行為 99 HD0000000676281HD0000000676281 對外部大量主機連線被對外部大量主機連線被FWFW阻擋阻擋 查無可疑程式查無可疑程式,,使用者有使用者有Skype,Skype,應該為應該為SkypeSkype所導致所導致 10
10 HD0000000676322HD0000000676322 對外部大量主機連線被對外部大量主機連線被FWFW阻擋阻擋 查無可疑程式查無可疑程式,,使用者有使用者有Skype,Skype,應該為應該為SkypeSkype所導致所導致 11
11 HD0000000676391HD0000000676391 對外部大量主機連線被對外部大量主機連線被FWFW阻擋阻擋 查無可疑程式查無可疑程式,,使用者有使用者有Skype,Skype,應該為應該為SkypeSkype所導致所導致 序號
序號 單號單號 類型類型
處理結果處理結果 1
1 HD0000000666061HD0000000666061 對外部大量主機連線被對外部大量主機連線被FWFW阻擋阻擋 查無可疑程式查無可疑程式,,使用者有自行安裝使用者有自行安裝webshotswebshots軟體軟體,,應該為此軟體所導應該為此軟體所導 致致
22 HD0000000667744HD0000000667744 內對內主機大量連線遭防火牆阻擋內對內主機大量連線遭防火牆阻擋 於於172.19.1.102172.19.1.102的host的host中發現中發現172.18.1.2 172.18.1.2 localhostlocalhost紀錄紀錄,,疑似為連線的原疑似為連線的原 因
因,,已經先將此筆紀錄移除已經先將此筆紀錄移除
33 HD0000000667745HD0000000667745 對外部大量主機連線被對外部大量主機連線被FWFW阻擋阻擋 為為FortiGuardFortiGuardAnalysis and Management Service contract validationAnalysis and Management Service contract validation之連之連 線行為
線行為 4
4 HD0000000668487HD0000000668487 對外部大量主機連線被對外部大量主機連線被FWFW阻擋阻擋 為為McAfee Site AdvisorMcAfee Site Advisor連線行為連線行為 5
5 HD0000000670599HD0000000670599 內對內主機大量連線遭防火牆阻擋內對內主機大量連線遭防火牆阻擋 為為VmwareVmwareESX Server,ESX Server,應為合法連線行為應為合法連線行為 6
6 HD0000000673175HD0000000673175 對外部大量主機連線被對外部大量主機連線被FWFW阻擋阻擋 查無可疑程式查無可疑程式,,使用者有使用者有Skype,Skype,應該為應該為SkypeSkype所導致所導致 7
7 HD0000000674020HD0000000674020 對外部大量主機連線被對外部大量主機連線被FWFW阻擋阻擋 查無可疑程式查無可疑程式,,使用者有使用者有Skype,Skype,應該為應該為SkypeSkype所導致所導致 88 HD0000000674291HD0000000674291 內對內主機大量連線遭防火牆阻擋內對內主機大量連線遭防火牆阻擋 為為VmwareVmwareESX Server,ESX Server,應為合法連線行為應為合法連線行為 99 HD0000000676281HD0000000676281 對外部大量主機連線被對外部大量主機連線被FWFW阻擋阻擋 查無可疑程式查無可疑程式,,使用者有使用者有Skype,Skype,應該為應該為SkypeSkype所導致所導致 10
10 HD0000000676322HD0000000676322 對外部大量主機連線被對外部大量主機連線被FWFW阻擋阻擋 查無可疑程式查無可疑程式,,使用者有使用者有Skype,Skype,應該為應該為SkypeSkype所導致所導致 11
11 HD0000000676391HD0000000676391 對外部大量主機連線被對外部大量主機連線被FWFW阻擋阻擋 查無可疑程式查無可疑程式,,使用者有使用者有Skype,Skype,應該為應該為SkypeSkype所導致所導致
調整方向:
已知 Skype 活動濾除:Skype 軟體使用將出現一定的 Pattern,首先找尋 Supernode,並嘗試連往其 TCP/80 及 TCP/443 埠,且以上動作於 3 秒內完成,隨 即針對相同外部 IP 嘗試 High Port 連線,且連續嘗試連往固定 IP 之同一 High Port 的 TCP 與 UDP(傳輸通訊協定)連線。
經過以上的檢討與調整之後,原有「對外部大量主機連線被 FW 阻擋」規則 停用,並新增一個「內部主機對外違反防火牆安全政策事件」規則,以改善此現 象。