SolarWinds 网络攻击实施方式
SolarWinds 网络攻击活动(也称为 Solorigate 或简称为 SolarWinds 黑客攻击)可利用 SolarWinds Orion 软件中的漏洞来完成供应链攻击。恶意软件被嵌入到数字签名软件中,进而使多个组织受到损害。这种情况的性质和影响范围还在继续发展,但至少已识别出两种截然不同的恶意软件威胁:Sunburst 和 Supernova。
Splunk 可以提供哪些帮助
查看并更新摄取到 Splunk 中的日志类型,然后检查 DNS、网络和主机流量日志以获取 Sunburst 恶意软件活动的证据。
检查漏洞扫描、哈希和代理日志的结果,以获取Supernova 网页木马的证据。
从目录和身份验证提供程序中搜索异常活动 ,以发现后续攻击的迹象。
从受损的主机中寻找横向移动的其他迹象。
扩展对 IT 基础设施和整个软件开发生命周期 (SDLC) 的监控
