情資卡編號:
TCCY-RCDC-400-202502-0000068
事件主旨:
TSOC偵測到交通部轄屬機關對外部IP有可疑異常連線行為
內容說明:
來自ArcSight,所觸發內對外部可疑IP有異常行為的疑似資安事件
風險等級:高度High
偵測來源:ArcSight
現象描述
發現多個受監控單位於短時間內嘗試對相同可疑IP
205.216.146.112
59.125.30.139
進行連線,請一併提高該IP的注意程度並建議於相關設備Policy設定阻擋動作。
風險等級:
2
建議措施:
1. 請確認來源主機的異常連線行為是否為合作廠商、分公司或是合法的弱點掃描來源位置,若確認攻擊來源屬於非法連線來源,建議將該 IP 於防火牆設定阻擋。
2. 建議針對被掃瞄的主機做好相關主機系統服務檢查及弱點修補確認的工作,並關閉不需要的服務。