2021/12/21

-LogRhythm 使用 MistNet 檢測 Log4Shell 漏洞-

MistNet 可偵測到與 Log4Shell 漏洞利用的相關網路流量,並提供相關數據給資安人員參考及查找問題所在之處。

圖一為 MistNet 規則引擎檢測到的 Log4Shell 漏洞利用嘗試

圖二為 MistNet 提供之豐富後設數據 ,包含觸發的有效載荷

擊者能夠透過許多種方法逃避檢測,因此分層檢測方法變得至關重要。MistNet透過多種方式解決了這個問題:

l   每日進行基於MistNet簽名規則的更新,當它們被發現時自動提供更多的檢測機會。
l   它持續地位分離的主機和對等組建立行為上的活動基線,提供機會使不尋常的網路活動變化顯露出來。
l   MistNet結合威脅情報,透過每日更新威脅情報,提供基於入侵指標( IOC, Indicator of Compromise)的檢測。
l   該平台豐富化及情境化所有流量,為威脅追踪和流量分析提供堅實的基礎。
值得思考的不僅是與初始漏洞利用嘗試相關的網路活動,還有來自運行Log4j的服務器異常進程活動與網路連接,例如:搜尋與漏洞相關的端口(例如 389、1389、1099)的外部流量。

查看更多產品資訊

下載產品規格手冊

參考資料:CVE-2021-44228 Log4Shell Detection

 
回上層