Ohje

Esimerkkikyselyt

Esimerkki: Exchange server -palvelimet

Yleiset tilastot · Aikasarja

Pinokaavio, jossa näytetään joka päivä viimeisen viikon aikana vastanneiksi havaittujen IPv4- ja IPv6-osoitteiden, jotka on merkitty yleisesti tunnisteella CVE-2023-36439, määrä.

Yleiset tilastot · Visualisointi · Taulukko

Taulukko, jossa näytetään joka päivä viimeisen PÄIVÄN aikana vastanneiksi havaittujen IPv4- ja IPv6-osoitteiden, jotka on merkitty yleisesti tunnisteella CVE-2023-36439, määrä.

Yleiset tilastot · Treemap-kaavio

Treemap-kaavio, jossa näytetään määritettynä päivänä havaittujen IPv4- ja IPv6-osoitteiden, jotka on merkitty tunnisteella CVE-2023-36439, määrä siten, että maakohtainen määrä on suhteellisesti edustettuna.

Maasegmenttiä napsauttamalla näet erittelyn lähteistä sekä yleisiä tilastotietoja, joiden lähde on CIA world factbook.

Esimerkki: Alttiit CWMP-laitteet

Yleiset tilastot · Aikasarja

Aikajana, joka näyttää kahden vuoden historiatiedot (julkisen koontinäytön enimmäisaikaväli). Tässä tapauksessa näytetään Saudi-Arabiassa kunakin päivänä havaittujen alttiiden CWMP-laitteiden IP-osoitteiden määrä.

Huomaa: kaavio osoittaa CWMP-alttiuden parantuneen merkittävästi tammikuun 2023 lopussa.

Esimerkki: MISP-instanssit

IoT-laitetilastot · Visualisointi · Pylväskaavio

Lukuisista laitteista ja ohjelmistoratkaisuista voidaan ottaa sormenjälki skannauksen aikana. Tämä kaavio osoittaa (logaritmisella asteikolla) kunakin päivänä havaittujen IP-osoitteiden keskimääräisen määrän kuluneen kuukauden aikana sekä suoritettavat MISP-instanssit.

Esimerkki: Hyödynnetyt haavoittuvuudet

Hyökkäystilastot: haavoittuvuudet · Valvonta

100 yleisintä havaittua hyödynnettävää haavoittuvuutta (niiden joukosta, joita Shadowserver valvoo hunajapurkkiensa kautta); lajiteltu alustavasti yksilöllisten hyökkäävien IP-osoitteiden lukumäärän mukaan viimeisen päivän osalta.

Napsauttamalla Kartta-valintaa käyttäjä voi vaihtaa ”Lähde”- ja ”Kohde”-isäntätyyppien välillä (ts. hyökkäävän IP-osoitteen paikannus vs. hunajapurkin IP-osoitteen paikannus).

Huomaa: hyökkäyksen maantieteellinen sijainti ei välttämättä edusta tarkasti itse hyökkääjän sijaintia.

Esimerkki: Tapahtumien tulkinta

Koontinäytön käyttäminen tapahtumien tulkinnan apuna: poikkeava kasvu alttiiden CWMP-laitteiden (luultavasti Huawei-kotireitittimien) määrässä Egyptissä ja tätä seuraavat samasta maasta peräisin olevat Mirai-hyökkäykset.

Huomaa: Shadowserver ilmoitti asiasta egyptiläiselle nCSIRT-organisaatiolle asian korjaamiseksi.

IoT-laitetilastot · Aikasarja

Havainto Egyptin infrastruktuuriin ilmoitetusti kuuluvien alttiiden IoT-laitteiden lukumäärän kasvusta päivämäärän 5.1.2023 tienoilla.

Kysely

IoT-laitetilastot · Treemap-kaavio myyjittäin

Päivämäärien selaaminen eteen- ja taaksepäin näyttää laitteet, jotka ovat todennäköisesti 5.1.2023 näkyviin tulleita Huawei-laitteita.

Kysely

Yleiset tilastot · Aikasarja

Tähän liittyvä skannauksesta ilmi tullut alttiiden CWMP-laitehavaintojen huippu, joka vastaa huippua 5.1.2023.

Kysely

Shadowserver-hunajapurkkitunnistimet havaitsivat Egyptissä epäiltyjä vaarantuneita laitteita, jotka käynnistivät Mirai- ja Brute Force -hyökkäyksiä.

Kysely

Lisäksi havaittiin vastaavia Telnet Brute Force -hyökkäyksiä, jotka olivat peräisin egyptiläisistä vaarantuneista laitteista.

Kysely

Käyttämällä useita lähteitä ja valitsemalla Tunniste- ja Päällekkäinen-valinnat voidaan havainnot esittää samassa kaaviossa.

Kysely

Esimerkki: Erityisraportit

Shadowserver julkaisee toisinaan kertaluonteisia erityisraportteja. Ilmoitamme niistä X:ssä/Twitterissä ja verkkosivustollamme. Saatat kuitenkin haluta tietää asiaankuuluvat päivämäärät tapahtuman jälkeen. Päivämäärät löytyvät aikasarjakaaviosta erityisraporttien päivämääriä hakemalla – voit sitten siirtää nämä päivämäärät muihin esitystapoihin, jotka soveltuvat paremmin yhden päivän tilastojen näyttämiseen (esim. kartta tai Treemap-kaavio). Erityisraporttien lähteenä näytetään koontinäytöllä special.

Erityisraporttien hakeminen aikasarjakaaviosta:

Kysely

29.1.2024 löytyneen esimerkkierityisraportin Treemap-kaavio:

Erityisraporttien luettelo löytyy raporttiluettelostamme pääverkkosivustollamme. Erityisraporttien nimessä mainitaan sana ”erityinen” (Special).

Esimerkki: Aikasarjakaaviot

Korkean kontrastin vaihtaminen

Aikasarjojen lähtökaavioiden akseliviivojen väri on oletusarvoisesti vaaleanharmaa. Kun valitset ”Vaihda korkea kontrasti”, akseliviivat muuttuvat mustiksi, mikä voi helpottaa raporttien jäljentämistä.

Näkyvyyden vaihtaminen

Kun aikasarjakaaviossa esitetään useita datasarjoja, kunkin datasarjan nimi annetaan alla. Valitsemalla ”Vaihda näkyvyys” voit poistaa kaikki datasarjat näkymästä.
Valitse sitten ainoastaan näytettävien kohteiden nimet kaavion alapuolelta napsauttamalla niitä. Asteikko päivittyy automaattisesti valitsemiesi datasarjojen/yhdistelmien mukaan.

Pinoamisen vaihtaminen

Kun aikasarjakaaviossa esitetään useita datasarjoja, päällekkäisiä tietoja voidaan tarkastella KAHDELLA eri tapaa (toisin kuin pinottujen tietokokonaisuuksien kohdalla). Ensimmäinen tapa on käyttää näytön vasemmalla puolella olevaa päällekkäisyyden vaihtopainiketta. Tämä tuottaa kaavioita, joissa on erilliset viivat kullekin tietokokonaisuudelle.
Vaihtoehtoisesti voidaan käyttää hampurilaisvalikon ”Vaihda pinoaminen” -valintaa, joka tuottaa kaavioita, joissa jokaisella tietokokonaisuudella on oma väritäyttönsä. Eri lähestymistavat voivat tuottaa selkeämpiä tuloksia aineistosta riippuen.

Shadowserver-koontinäytön kehitystyön rahoitti Yhdistyneen kuningaskunnan FCDO-virasto. IoT-laitteiden sormenjälkitilastot ja hunajapurkkien hyökkäystilastot osarahoittaa Euroopan unionin Verkkojen Eurooppa -väline (EU CEF VARIoT -hanke).

Haluamme kiittää kaikkia yhteistyökumppaneitamme, jotka ovat osallistuneet Shadowserver-koontinäytöllä käytettävien tietojen tuottamiseen, mukaan lukien (aakkosjärjestyksessä): APNIC Community Feeds, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama National University ja muut yhteistyökumppanimme, jotka halusivat pysyä nimettöminä.

Shadowserver käyttää evästeitä analytiikkatietojen keräämiseen. Ne auttavat meitä mittaamaan sivuston käyttöä ja parantamaan käyttäjäkokemusta. Lisätietoja evästeistä ja siitä, miten Shadowserver käyttää niitä, on tietosuojakäytännössämme. Evästeiden käyttäminen laitteessasi tällä tavoin edellyttää suostumustasi.