วิธีใช้

วิธีใช้ทั่วไป

Dashboard overview

แดชบอร์ด Shadowserver จะแสดงสถิติขั้นสูงเกี่ยวกับชุดข้อมูลหลักๆ ที่ Shadowserver เก็บรวบรวมและแชร์ผ่านกิจกรรมประจำวันในรายงานประจำวันมากกว่า 100 รายงาน ซึ่งชุดข้อมูลเหล่านั้นช่วยให้ค้นหาพื้นที่โจมตีที่มีความเสี่ยง ช่องโหว่ การกำหนดค่าไม่ถูกต้อง ความเสี่ยงของเครือข่าย ตลอดจนการเฝ้าสังเกตการโจมตี ซึ่งข้อมูลที่แชร์ในรูปแบบของรายงานต่างๆ จะมีข้อมูลอย่างละเอียดในระดับ IP ที่เกี่ยวข้องกับบางเครือข่ายหรือบางเขต แดชบอร์ด Shadowserver จะไม่อนุญาตสำหรับรายละเอียดในระดับนี้ แต่จะแสดงสถิติระดับสูงเกี่ยวกับกิจกรรมเหล่านี้แทน ช่วยให้ข้อมูลเชิงลึกเกี่ยวกับภัยคุกคาม ช่องโหว่ใหม่ๆ และเหตุการณ์ล่าสุดช่วยสร้างการตระหนักรู้ตามสถานการณ์ ในชุมชนที่มีขนาดใหญ่ขึ้น และสงวนตัวตนของบุคคลที่เกี่ยวข้อง

Sources and tags

การแสดงข้อมูลจะถูกจัดการตามแหล่งข้อมูลและแท็ก ซึ่งแหล่งข้อมูลคือการจัดกลุ่มข้อมูลในบางรูปแบบ แหล่งข้อมูลเบื้องต้นคือhoneypot, population, scan, sinkhole ซึ่งประชากรและสแกนถือเป็นชุดข้อมูลแบบสแกน โดยที่ประชากรเป็นการนับจุดปลายทางที่มีความเสี่ยงโดยไม่มีการประเมินความเสี่ยง/ความปลอดภัย โดยการต่อท้ายด้วยเลข 6 หมายถึงข้อมูล Ipv6 (ข้อมูลทั้งหมดที่ไม่มีการต่อท้ายจะหมายถึงข้อมูล IPv4)

แหล่งข้อมูลอาจมีแท็กที่เกี่ยวข้องอยู่โดยมีบริบทเพิ่มเติมสำหรับข้อมูลที่แสดง ตัวอย่างเช่น แท็กสำหรับ scan จะมีประเภทการสแกนแบบต่างๆ (เช่น services/protocols ที่ถูกสแกน เช่น telnet, ftp และ rdp) แท็กสำหรับ sinkhole จะแสดงถึงตระกูลของมัลแวร์ที่เชื่อมต่อกับซิงค์โฮล (เช่น โฮสต์ที่ติดไวรัสจากมัลแวร์ตระกูลต่างๆ เช่น adload, andromeda และ necurs)

แท็กจะให้ข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับข้อมูลที่แสดง

นอกจากนี้เรายังแนะนำให้จัดกลุ่มแหล่งข้อมูลเพิ่มเติมด้วย เพื่อให้มีการเฝ้าสังเกตที่ดียิ่งขึ้นเกี่ยวกับโฮสต์ที่มีช่องโหว่หรือมีความเสี่ยง ตัวอย่างเช่น http_vulnerable หรือ compromised_website ซึ่งโดยทั่วไปจะมีแท็กที่แสดงช่องโหว่ของ CVE ตลอดจนผู้จำหน่ายหรือผลิตภัณฑ์ที่ได้รับผลกระทบ หรือการตรวจพบข้อมูลเกี่ยวกับประตูหลัง เว็บเชลล์ หรือข้อมูลที่ฝังไว้ ตัวอย่างของ http_vulnerable เช่น citrix หรือ cve-2023-3519

เนื่องจากเราเพิ่มการตรวจจับลงในชุดข้อมูลของเรา จึงทำให้มีจำนวนแท็กเพิ่มมากขึ้น ดังนั้นอาจมีหมวดหมู่ใหม่ๆ เพิ่มเติมสำหรับแหล่งข้อมูลให้คุณสามารถเลือกได้ ตัวอย่างเช่น แม้ว่า snmp จะเป็นแท็กที่แสดงอยู่บน scan แต่ก็ยังถือเป็นแหล่งข้อมูลด้วยเช่นกัน ช่วยให้เราสามารถแสดงผลลัพธ์ของ snmp scan อย่างละเอียดเพื่อดูผลลัพธ์ของ snmp scan ที่เกี่ยวข้องกับช่องโหว่เช่น cve-2017-6736 ได้

ลิงก์ด่วนสำหรับหมวดหมู่ข้อมูล: แถบนำทางด้านซ้าย

ชุดข้อมูลที่แสดงเหล่านี้เก็บรวบรวมมาด้วยวิธีการเก็บข้อมูลขนาดใหญ่มากมาย เช่น การซิงค์โฮล การสแกน และฮันนี่พอต ซึ่งหมวดหมู่หลักๆ เหล่านี้ของชุดข้อมูลจะถูกแชร์ร่วมกันบนแถบนำทางด้านซ้าย โดยจะมีสัญลักษณ์ของหมวดหมู่แต่ละประเภทแบ่งตามไอคอนต่างๆ

เป้าหมายนี้เพื่อสามารถเข้าถึงหมวดหมู่ของแหล่งข้อมูลที่เฉพาะเจาะจงได้รวดเร็วยิ่งขึ้น ตัวอย่างเช่น:

  • ซิงค์โฮล - แสดงภาพรวมของชุดข้อมูลที่จัดกลุ่มตาม sinkhole ของแหล่งข้อมูล จากนั้นคุณจึงสามารถดูผลการซิงค์โฮลที่เฉพาะเจาะจงได้โดยการเลือกแท็กหรือกลุ่มของแท็ก
  • สแกน - แสดงภาพรวมของชุดข้อมูลที่จัดกลุ่มตาม scan ของแหล่งข้อมูล (หมวดหมู่นี้จะมีผลการสแกนหาบริการที่มีปัญหาความปลอดภัยบางประเภทที่เกี่ยวข้อง นอกจากนี้คุณยังสามารถดูผลการสแกนหาประชากรได้โดยการเลือก population ของแหล่งข้อมูลแทนได้อีกด้วย) จากนั้นคุณจึงสามารถดูผลการสแกนที่เฉพาะเจาะจงได้โดยการเลือกแท็กหรือกลุ่มของแท็ก
  • ฮันนี่พอต - แสดงภาพรวมของชุดข้อมูลที่จัดกุ่มตาม honeypotของแหล่งข้อมูล จากนั้นคุณจึงสามารถดูผลลัพธ์ของฮันนี่พอตที่เฉพาะเจาะจงได้โดยการเลือกแท็กหรือกลุ่มของแท็ก
  • DDoS - แสดงภาพรวมของชุดข้อมูลที่จัดกลุ่มตาม honeypot_ddos_amp ของแหล่งข้อมูล ซึ่งเป็น DDoS แบบขยายที่พบโดยเป้าหมายในประเทศ/ภูมิภาคที่เฉพาะเจาะจง คุณจึงสามารถดูวิธีการขยายที่ใช้ได้โดยการเลือกแท็กหรือกลุ่มของแท็ก
  • ICS - แสดงภาพรวมของชุดข้อมูลที่จัดกลุ่มโดย ics ของแหล่งข้อมูล (ซึ่งเป็นผลการสแกนโปรโตคอลของระบบควบคุมในอุตสาหกรรมดั้งเดิม) จากนั้นคุณจึงสามารถดูโปรโตคอลดั้งเดิมที่ใช้ได้โดยการเลือกแท็กหรือกลุ่มของแท็ก
  • Web CVEs - แสดงภาพรวมของชุดข้อมูลที่จัดกลุ่มโดย http_vulnerable และ exchange ซึ่งเป็นเว็บแอปพลิเคชันที่มีความเสี่ยงในการสแกนโดย CVE ของเรา คุณจะสามารถดู CVE หรือผลิตภัณฑ์ที่ได้รับผลกระทบโดยการเลือกแท็กหรือกลุ่มของแท็ก

คุณสามารถแบ่งรายละเอียดของชุดข้อมูลได้ตามประเทศหรือการจัดกลุ่มประเทศ ภูมิภาค และทวีป

นอกจากนี้ยังมีการอธิบายถึงชุดข้อมูลแต่ละชุดไว้ใน “เกี่ยวกับข้อมูลนี้”

โปรดทราบว่ายังมีชุดข้อมูลที่สามารถใช้งานได้นอกเหนือจากรายการที่เน้นสีไว้ ตัวอย่างเช่น beacon ของแหล่งข้อมูลจะช่วยให้คุณสามารถค้นหา C2 ของโปรแกรมหลังเจาะระบบที่เราเห็นในการสแกนของเรา และ compromised_website ของแหล่งข้อมูลจะช่วยให้คุณสามารถดูจุดปลายทางเว็บที่เสี่ยงในการสแกนของเรา

แถบนำทางด้านบน

แถบนำทางด้านบนจะมีตัวเลือกในการสร้างข้อมูลภาพมากมายเพื่อการนำเสนอข้อมูล ตลอดจนการสร้างข้อมูลภาพของอุปกรณ์และชุดข้อมูลการเฝ้าระวังการโจมตี

สถิติทั่วไป

สถิติทั่วๆ ไปจะรวมถึงความสามารถในการสร้างภาพแหล่งข้อมูลและแท็กใดๆ โดยเลือก:

  • แผนที่โลก - การแสดงแผนที่โลกจะแสดงแหล่งข้อมูลและแท็ก ฟีเจอร์พิเศษต่างๆ เช่น: ความสามารถในการเปลี่ยนการแสดงผลให้แสดงแท็กที่ใช้กันมากที่สุดในแต่ละประเทศตามแหล่งข้อมูล, การทำนอมัลไลเซชั่นประชากร, GDP, การเชื่อมต่อผู้ใช้ ฯลฯ นอกจากนี้คุณยังสามารถเลือกเครื่องหมายบนแผนที่เพื่อแสดงค่าในแต่ละประเทศได้อีกด้วย
  • แผนที่ภูมิภาค - การแสดงแผนที่ในระดับประเทศพร้อมแยกประเทศต่างๆ ให้เป็นภูมิภาคและจังหวัด
  • แผนที่เปรียบเทียบ - แผนที่เปรียบเทียบระหว่างสองประเทศ
  • อนุกรมเวลา - แผนภูมิแสดงแหล่งข้อมูลและแท็กรวมกันเมื่อเวลาผ่านไป ซึ่งจะช่วยให้สามารถจัดกลุ่มข้อมูลได้หลายรูปแบบ (ไม่เพียงแต่จัดกลุ่มตามประเทศเท่านั้น)
  • การแสดงข้อมูลด้วยภาพ - มีตัวเลือกมากมายสำหรับดูรายละเอียดของชุดข้อมูล รวมถึงค่าเฉลี่ยเมื่อเวลาผ่านไป ช่วยให้สามารถแสดงข้อมูลในรูปแบบของตาราง แผนภูมิแบบแท่ง แผนผังแบบฟองสบู่ และอีกมากมาย

สถิติเกี่ยวกับอุปกรณ์ IoT (สถิติข้อมูลอุปกรณ์)

ชุดข้อมูลนี้และการแสดงข้อมูลภาพที่เกี่ยวข้องจะมีภาพสแนปช็อตประจำวันเกี่ยวกับจุดปลายทางที่มีความเสี่ยง โดยจัดกลุ่มตามผู้จำหน่ายที่มีความเสี่ยงและผลิตภัณฑ์ที่ตรวจพบจากการสแกนของเรา ซึ่งจะจัดหมวดหมู่ข้อมูลตามผู้จำหน่าย รุ่น และประเภทอุปกรณ์ โดยตรวจพบจากหลายๆ อย่าง เช่น เนื้อหาบนเว็บเพจ, ใบรับรอง SSL/TLS, แบนเนอร์ที่แสดง ฯลฯ ซึ่งชุดข้อมูลนี้จะมีข้อมูลประชากรเท่านั้น แต่จะไม่มีการประเมินผลใดๆ เกี่ยวกับช่องโหว่ที่เกี่ยวข้องกับจุดปลายทางที่มีความเสี่ยง (หากต้องการค้นหาข้อมูลเหล่านั้น ให้เลือกแหล่งข้อมูล เช่น http_vulnerable ภายใต้ “สถิติทั่วไป” แทน)

มีแผนภูมิแสดงภาพที่คล้ายคลึงกับใน “สถิติทั่วไป” ที่แตกต่างออกไปคือแทนที่จะใช้แหล่งข้อมูลและแท็ก แต่คุณจะสามารถดู (และจัดกลุ่ม) ผู้จำหน่าย, รุ่น และ ประเภทอุปกรณ์ได้แทน

Attack statistics: Vulnerabilities

ชุดข้อมูลนี้และการแสดงข้อมูลด้วยภาพที่เกี่ยวข้องจะแสดงภาพสแนปช็อตประจำวันเกี่ยวกับการโจมตีที่พบโดยเครือข่ายตรวจจับของฮันนี่พอต พร้อมโฟกัสช่องโหว่ที่ใช้สำหรับการเจาะระบบ ซึ่งรวมถึงความสามารถในการดูผลิตภัณฑ์ที่ถูกโจมตีบ่อยที่สุด และเพื่อดูวิธีการที่ถูกโจมตี (เช่น เมื่อถูกเจาะระบบ อาจมี CVE บางอย่างที่ถูกโจมตี) นอกจากนี้คุณยังสามารถดูแผนภูมิตามแหล่งข้อมูลการโจมตีและปลายทางได้อีกด้วย

มีแผนภูมิแสดงภาพที่คล้ายคลึงกับใน “สถิติทั่วไป” ที่แตกต่างออกไปคือแทนที่จะใช้แหล่งข้อมูลและแท็ก แต่คุณจะสามารถดู (และจัดกลุ่ม) ผู้จำหน่าย, ช่องโหว่ ตลอดจนแหล่งข้อมูลและปลายทางของการโจมตี

หมวดหมู่การแสดงข้อมูลด้วยภาพเพิ่มเติม - นอกจากนี้ยังมีการเพิ่มระบบการเฝ้าระวังอีกด้วย:

ตารางประจำวันที่ปรับปรุงแล้วนี้แสดงช่องโหว่ที่ถูกเจาะระบบมากที่สุด โดยจัดกลุ่มตาม IP ต้นทางที่พบการโจมตี (หรือพบว่ามีความพยายามโจมตี หากคุณเลือกสถิติจำนวนครั้งที่พยายามเชื่อมต่อ) แหล่งข้อมูลนี้มาจากเครือข่ายตรวจจับของฮันนี่พอต โดยจัดกลุ่มข้อมูลตามช่องโหว่ที่ถูกเจาะระบบ นอกจากนี้ยังรวมถึงการแมปช่องโหว่ที่ถูกโจมตีในรายชื่อของ CISA อีกด้วย (รวมถึงว่าอยู่ในรายชื่อที่ถูกโจมตีโดยกลุ่มแรนซัมแวร์หรือไม่) และเป็นการโจมตีอุปกรณ์ IoT หรือโจมตีแอปพลิเคชันบนเซิร์ฟเวอร์

ตามค่าเริ่มต้นการแสดงผลนี้จะแสดงช่องโหว่ที่ถูกเจาะระบบมากที่สุดในโลก แต่คุณยังสามารถกรองได้ตามประเทศ หรือจัดกลุ่มหรือแสดงตารางแสดงความผิดปกติแทนได้อีกด้วย

Attack statistics: Devices

ชุดข้อมูลนี้และช่องโหว่ที่เกี่ยวข้องจะแสดงภาพสแนปช็อตประจำวันเกี่ยวกับประเภทอุปกรณ์ที่โจมตี ซึ่งพบโดยเครือข่ายตรวจจับของฮันนี่พอต การเก็บลายนิ้วมือของอุปกรณ์เหล่านี้จะทำผ่านการสแกนประจำวันของเรา ซึ่งชุดข้อมูลดังกล่าวจะช่วยให้สามารถแกะรอยประเภทการโจมตี ผู้จำหน่ายอุปกรณ์ หรือรุ่นอุปกรณ์ที่เฉพาะเจาะจง และสามารถกรองได้ตามประเทศ

มีแผนภูมิที่คล้ายคลึงกับใน “สถิติทั่วไป” ที่แตกต่างออกไปคือแทนที่จะใช้แหล่งข้อมูลและแท็ก แต่คุณจะสามารถดู (และจัดกลุ่ม) การโจมตีประเภท, ผู้จำหน่ายอุปกรณ์ หรือ รุ่นได้แทน

หมวดหมู่การแสดงข้อมูลด้วยภาพเพิ่มเติม - นอกจากนี้ยังมีการเพิ่มระบบการเฝ้าระวังอีกด้วย:

ตารางประจำวันที่ปรับปรุงแล้วนี้แสดงอุปกรณ์โจมตีที่ใช้มากที่สุดที่พบตามที่อยู่ IP ต้นทางที่พบการโจมตี (หรือพบว่ามีความพยายามในการโจมตี หากคุณเลือกสถิติจำนวนครั้งที่พยายามเชื่อมต่อ) เนื่องจากชุดข้อมูลทั้งหมดที่แสดงในหมวดหมู่นี้ได้มาจากเครือข่ายตรวจจับของฮันนี่พอต ซึ่งจัดกลุ่มตามประเภทการโจมตีที่ตรวจพบ ผู้จำหน่าย และรุ่น (ถ้ามี) เราจะตรวจวัดอุปกรณ์ที่โจมตีจากที่อยู่ IP ที่เกี่ยวข้องพร้อมผลลัพธ์จากลายนิ้วมือการสแกนอุปกรณ์ประจำวัน (โปรดดู “สถิติจากอุปกรณ์ IoT”)

ตามค่าเริ่มต้น การแสดงผลจะแสดงอุปกรณ์ที่ใช้โจมตีมากที่สุด (ตามแหล่งข้อมูล) ที่พบการโจมตี (รวมถึงกรณีที่เราไม่สามารถค้นหาอุปกรณ์หรือค้นพบแต่เพียงผู้จำหน่าย เป็นต้น) คุณสามารถเลือกที่จะกรองตามประเทศ หรือจัดกลุ่มหรือแสดงตารางแสดงความผิดปกติแทนก็ได้

การพัฒนาแดชบอร์ด Shadowserver ได้รับการสนับสนุนจาก UK FCDO สำหรับสถิติลายนิ้วมือบนอุปกรณ์ IoT และสถิติการโจมตีฮันนี่พอตได้รับเงินสนับสนุนร่วมจากโครงการเชื่อมโยงสาธารณูปโภคในยุโรป (Connecting Europe Facility) ของสหภาพยุโรป (โครงการ EU CEF VARIoT)

ขอขอบคุณพันธมิตรทุกรายที่สนับสนุนข้อมูลสำหรับใช้ในแดชบอร์ด Shadowserver ตลอดจน (เรียงตามตัวอักษร) ฟีดชุมชน APNIC (APNIC Community Feeds), CISPA, if-is.net, Kryptos Logic, SecurityScorecard, มหาวิทยาลัยแห่งชาติโยโคฮามา (Yokohama National University) และพันธมิตรทั้งหมดที่ไม่ประสงค์ออกนาม

Shadowserver จะใช้คุกกี้เพื่อรวบรวมบทวิเคราะห์ต่างๆ เพื่อช่วยให้เราสามารถตรวจวัดวิธีการใช้งานเว็บไซต์ และปรับปรุงประสบการณ์ของผู้ใช้ หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับคุกกี้และวิธีการที่ Shadowserver นำไปใช้งาน โปรดดู นโยบายความเป็นส่วนตัว โปรดให้ความยินยอมให้เราสามารถใช้คุกกี้ในรูปแบบนี้บนอุปกรณ์ของคุณ