Dashboard overview
แดชบอร์ด Shadowserver จะแสดงสถิติขั้นสูงเกี่ยวกับชุดข้อมูลหลักๆ ที่ Shadowserver เก็บรวบรวมและแชร์ผ่านกิจกรรมประจำวันในรายงานประจำวันมากกว่า 100 รายงาน ซึ่งชุดข้อมูลเหล่านั้นช่วยให้ค้นหาพื้นที่โจมตีที่มีความเสี่ยง ช่องโหว่ การกำหนดค่าไม่ถูกต้อง ความเสี่ยงของเครือข่าย ตลอดจนการเฝ้าสังเกตการโจมตี ซึ่งข้อมูลที่แชร์ในรูปแบบของรายงานต่างๆ จะมีข้อมูลอย่างละเอียดในระดับ IP ที่เกี่ยวข้องกับบางเครือข่ายหรือบางเขต แดชบอร์ด Shadowserver จะไม่อนุญาตสำหรับรายละเอียดในระดับนี้ แต่จะแสดงสถิติระดับสูงเกี่ยวกับกิจกรรมเหล่านี้แทน ช่วยให้ข้อมูลเชิงลึกเกี่ยวกับภัยคุกคาม ช่องโหว่ใหม่ๆ และเหตุการณ์ล่าสุดช่วยสร้างการตระหนักรู้ตามสถานการณ์ ในชุมชนที่มีขนาดใหญ่ขึ้น และสงวนตัวตนของบุคคลที่เกี่ยวข้อง
Sources and tags
การแสดงข้อมูลจะถูกจัดการตามแหล่งข้อมูลและแท็ก ซึ่งแหล่งข้อมูลคือการจัดกลุ่มข้อมูลในบางรูปแบบ แหล่งข้อมูลเบื้องต้นคือhoneypot
, population
, scan
, sinkhole
ซึ่งประชากรและสแกนถือเป็นชุดข้อมูลแบบสแกน โดยที่ประชากรเป็นการนับจุดปลายทางที่มีความเสี่ยงโดยไม่มีการประเมินความเสี่ยง/ความปลอดภัย โดยการต่อท้ายด้วยเลข 6
หมายถึงข้อมูล Ipv6 (ข้อมูลทั้งหมดที่ไม่มีการต่อท้ายจะหมายถึงข้อมูล IPv4)
แหล่งข้อมูลอาจมีแท็กที่เกี่ยวข้องอยู่โดยมีบริบทเพิ่มเติมสำหรับข้อมูลที่แสดง ตัวอย่างเช่น แท็กสำหรับ scan
จะมีประเภทการสแกนแบบต่างๆ (เช่น services/protocols ที่ถูกสแกน เช่น telnet
, ftp
และ rdp
) แท็กสำหรับ sinkhole
จะแสดงถึงตระกูลของมัลแวร์ที่เชื่อมต่อกับซิงค์โฮล (เช่น โฮสต์ที่ติดไวรัสจากมัลแวร์ตระกูลต่างๆ เช่น adload
, andromeda
และ necurs
)
แท็กจะให้ข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับข้อมูลที่แสดง
นอกจากนี้เรายังแนะนำให้จัดกลุ่มแหล่งข้อมูลเพิ่มเติมด้วย เพื่อให้มีการเฝ้าสังเกตที่ดียิ่งขึ้นเกี่ยวกับโฮสต์ที่มีช่องโหว่หรือมีความเสี่ยง ตัวอย่างเช่น http_vulnerable
หรือ compromised_website
ซึ่งโดยทั่วไปจะมีแท็กที่แสดงช่องโหว่ของ CVE ตลอดจนผู้จำหน่ายหรือผลิตภัณฑ์ที่ได้รับผลกระทบ หรือการตรวจพบข้อมูลเกี่ยวกับประตูหลัง เว็บเชลล์ หรือข้อมูลที่ฝังไว้ ตัวอย่างของ http_vulnerable
เช่น citrix
หรือ cve-2023-3519
เนื่องจากเราเพิ่มการตรวจจับลงในชุดข้อมูลของเรา จึงทำให้มีจำนวนแท็กเพิ่มมากขึ้น ดังนั้นอาจมีหมวดหมู่ใหม่ๆ เพิ่มเติมสำหรับแหล่งข้อมูลให้คุณสามารถเลือกได้ ตัวอย่างเช่น แม้ว่า snmp
จะเป็นแท็กที่แสดงอยู่บน scan
แต่ก็ยังถือเป็นแหล่งข้อมูลด้วยเช่นกัน ช่วยให้เราสามารถแสดงผลลัพธ์ของ snmp scan อย่างละเอียดเพื่อดูผลลัพธ์ของ snmp scan ที่เกี่ยวข้องกับช่องโหว่เช่น cve-2017-6736
ได้
ลิงก์ด่วนสำหรับหมวดหมู่ข้อมูล: แถบนำทางด้านซ้าย
ชุดข้อมูลที่แสดงเหล่านี้เก็บรวบรวมมาด้วยวิธีการเก็บข้อมูลขนาดใหญ่มากมาย เช่น การซิงค์โฮล การสแกน และฮันนี่พอต ซึ่งหมวดหมู่หลักๆ เหล่านี้ของชุดข้อมูลจะถูกแชร์ร่วมกันบนแถบนำทางด้านซ้าย โดยจะมีสัญลักษณ์ของหมวดหมู่แต่ละประเภทแบ่งตามไอคอนต่างๆ
เป้าหมายนี้เพื่อสามารถเข้าถึงหมวดหมู่ของแหล่งข้อมูลที่เฉพาะเจาะจงได้รวดเร็วยิ่งขึ้น ตัวอย่างเช่น:
-
ซิงค์โฮล - แสดงภาพรวมของชุดข้อมูลที่จัดกลุ่มตาม
sinkhole
ของแหล่งข้อมูล จากนั้นคุณจึงสามารถดูผลการซิงค์โฮลที่เฉพาะเจาะจงได้โดยการเลือกแท็กหรือกลุ่มของแท็ก -
สแกน - แสดงภาพรวมของชุดข้อมูลที่จัดกลุ่มตาม
scan
ของแหล่งข้อมูล (หมวดหมู่นี้จะมีผลการสแกนหาบริการที่มีปัญหาความปลอดภัยบางประเภทที่เกี่ยวข้อง นอกจากนี้คุณยังสามารถดูผลการสแกนหาประชากรได้โดยการเลือกpopulation
ของแหล่งข้อมูลแทนได้อีกด้วย) จากนั้นคุณจึงสามารถดูผลการสแกนที่เฉพาะเจาะจงได้โดยการเลือกแท็กหรือกลุ่มของแท็ก -
ฮันนี่พอต - แสดงภาพรวมของชุดข้อมูลที่จัดกุ่มตาม
honeypot
ของแหล่งข้อมูล จากนั้นคุณจึงสามารถดูผลลัพธ์ของฮันนี่พอตที่เฉพาะเจาะจงได้โดยการเลือกแท็กหรือกลุ่มของแท็ก -
DDoS - แสดงภาพรวมของชุดข้อมูลที่จัดกลุ่มตาม
honeypot_ddos_amp
ของแหล่งข้อมูล ซึ่งเป็น DDoS แบบขยายที่พบโดยเป้าหมายในประเทศ/ภูมิภาคที่เฉพาะเจาะจง คุณจึงสามารถดูวิธีการขยายที่ใช้ได้โดยการเลือกแท็กหรือกลุ่มของแท็ก -
ICS - แสดงภาพรวมของชุดข้อมูลที่จัดกลุ่มโดย
ics
ของแหล่งข้อมูล (ซึ่งเป็นผลการสแกนโปรโตคอลของระบบควบคุมในอุตสาหกรรมดั้งเดิม) จากนั้นคุณจึงสามารถดูโปรโตคอลดั้งเดิมที่ใช้ได้โดยการเลือกแท็กหรือกลุ่มของแท็ก -
Web CVEs - แสดงภาพรวมของชุดข้อมูลที่จัดกลุ่มโดย
http_vulnerable
และexchange
ซึ่งเป็นเว็บแอปพลิเคชันที่มีความเสี่ยงในการสแกนโดย CVE ของเรา คุณจะสามารถดู CVE หรือผลิตภัณฑ์ที่ได้รับผลกระทบโดยการเลือกแท็กหรือกลุ่มของแท็ก
คุณสามารถแบ่งรายละเอียดของชุดข้อมูลได้ตามประเทศหรือการจัดกลุ่มประเทศ ภูมิภาค และทวีป
นอกจากนี้ยังมีการอธิบายถึงชุดข้อมูลแต่ละชุดไว้ใน “เกี่ยวกับข้อมูลนี้”
โปรดทราบว่ายังมีชุดข้อมูลที่สามารถใช้งานได้นอกเหนือจากรายการที่เน้นสีไว้ ตัวอย่างเช่น beacon
ของแหล่งข้อมูลจะช่วยให้คุณสามารถค้นหา C2 ของโปรแกรมหลังเจาะระบบที่เราเห็นในการสแกนของเรา และ compromised_website
ของแหล่งข้อมูลจะช่วยให้คุณสามารถดูจุดปลายทางเว็บที่เสี่ยงในการสแกนของเรา
แถบนำทางด้านบน
แถบนำทางด้านบนจะมีตัวเลือกในการสร้างข้อมูลภาพมากมายเพื่อการนำเสนอข้อมูล ตลอดจนการสร้างข้อมูลภาพของอุปกรณ์และชุดข้อมูลการเฝ้าระวังการโจมตี
สถิติทั่วไป
สถิติทั่วๆ ไปจะรวมถึงความสามารถในการสร้างภาพแหล่งข้อมูลและแท็กใดๆ โดยเลือก:
- แผนที่โลก - การแสดงแผนที่โลกจะแสดงแหล่งข้อมูลและแท็ก ฟีเจอร์พิเศษต่างๆ เช่น: ความสามารถในการเปลี่ยนการแสดงผลให้แสดงแท็กที่ใช้กันมากที่สุดในแต่ละประเทศตามแหล่งข้อมูล, การทำนอมัลไลเซชั่นประชากร, GDP, การเชื่อมต่อผู้ใช้ ฯลฯ นอกจากนี้คุณยังสามารถเลือกเครื่องหมายบนแผนที่เพื่อแสดงค่าในแต่ละประเทศได้อีกด้วย
- แผนที่ภูมิภาค - การแสดงแผนที่ในระดับประเทศพร้อมแยกประเทศต่างๆ ให้เป็นภูมิภาคและจังหวัด
- แผนที่เปรียบเทียบ - แผนที่เปรียบเทียบระหว่างสองประเทศ
- อนุกรมเวลา - แผนภูมิแสดงแหล่งข้อมูลและแท็กรวมกันเมื่อเวลาผ่านไป ซึ่งจะช่วยให้สามารถจัดกลุ่มข้อมูลได้หลายรูปแบบ (ไม่เพียงแต่จัดกลุ่มตามประเทศเท่านั้น)
- การแสดงข้อมูลด้วยภาพ - มีตัวเลือกมากมายสำหรับดูรายละเอียดของชุดข้อมูล รวมถึงค่าเฉลี่ยเมื่อเวลาผ่านไป ช่วยให้สามารถแสดงข้อมูลในรูปแบบของตาราง แผนภูมิแบบแท่ง แผนผังแบบฟองสบู่ และอีกมากมาย
สถิติเกี่ยวกับอุปกรณ์ IoT (สถิติข้อมูลอุปกรณ์)
ชุดข้อมูลนี้และการแสดงข้อมูลภาพที่เกี่ยวข้องจะมีภาพสแนปช็อตประจำวันเกี่ยวกับจุดปลายทางที่มีความเสี่ยง โดยจัดกลุ่มตามผู้จำหน่ายที่มีความเสี่ยงและผลิตภัณฑ์ที่ตรวจพบจากการสแกนของเรา ซึ่งจะจัดหมวดหมู่ข้อมูลตามผู้จำหน่าย รุ่น และประเภทอุปกรณ์ โดยตรวจพบจากหลายๆ อย่าง เช่น เนื้อหาบนเว็บเพจ, ใบรับรอง SSL/TLS, แบนเนอร์ที่แสดง ฯลฯ ซึ่งชุดข้อมูลนี้จะมีข้อมูลประชากรเท่านั้น แต่จะไม่มีการประเมินผลใดๆ เกี่ยวกับช่องโหว่ที่เกี่ยวข้องกับจุดปลายทางที่มีความเสี่ยง (หากต้องการค้นหาข้อมูลเหล่านั้น ให้เลือกแหล่งข้อมูล เช่น http_vulnerable
ภายใต้ “สถิติทั่วไป” แทน)
มีแผนภูมิแสดงภาพที่คล้ายคลึงกับใน “สถิติทั่วไป” ที่แตกต่างออกไปคือแทนที่จะใช้แหล่งข้อมูลและแท็ก แต่คุณจะสามารถดู (และจัดกลุ่ม) ผู้จำหน่าย, รุ่น และ ประเภทอุปกรณ์ได้แทน
Attack statistics: Vulnerabilities
ชุดข้อมูลนี้และการแสดงข้อมูลด้วยภาพที่เกี่ยวข้องจะแสดงภาพสแนปช็อตประจำวันเกี่ยวกับการโจมตีที่พบโดยเครือข่ายตรวจจับของฮันนี่พอต พร้อมโฟกัสช่องโหว่ที่ใช้สำหรับการเจาะระบบ ซึ่งรวมถึงความสามารถในการดูผลิตภัณฑ์ที่ถูกโจมตีบ่อยที่สุด และเพื่อดูวิธีการที่ถูกโจมตี (เช่น เมื่อถูกเจาะระบบ อาจมี CVE บางอย่างที่ถูกโจมตี) นอกจากนี้คุณยังสามารถดูแผนภูมิตามแหล่งข้อมูลการโจมตีและปลายทางได้อีกด้วย
มีแผนภูมิแสดงภาพที่คล้ายคลึงกับใน “สถิติทั่วไป” ที่แตกต่างออกไปคือแทนที่จะใช้แหล่งข้อมูลและแท็ก แต่คุณจะสามารถดู (และจัดกลุ่ม) ผู้จำหน่าย, ช่องโหว่ ตลอดจนแหล่งข้อมูลและปลายทางของการโจมตี
หมวดหมู่การแสดงข้อมูลด้วยภาพเพิ่มเติม - นอกจากนี้ยังมีการเพิ่มระบบการเฝ้าระวังอีกด้วย:
ตารางประจำวันที่ปรับปรุงแล้วนี้แสดงช่องโหว่ที่ถูกเจาะระบบมากที่สุด โดยจัดกลุ่มตาม IP ต้นทางที่พบการโจมตี (หรือพบว่ามีความพยายามโจมตี หากคุณเลือกสถิติจำนวนครั้งที่พยายามเชื่อมต่อ) แหล่งข้อมูลนี้มาจากเครือข่ายตรวจจับของฮันนี่พอต โดยจัดกลุ่มข้อมูลตามช่องโหว่ที่ถูกเจาะระบบ นอกจากนี้ยังรวมถึงการแมปช่องโหว่ที่ถูกโจมตีในรายชื่อของ CISA อีกด้วย (รวมถึงว่าอยู่ในรายชื่อที่ถูกโจมตีโดยกลุ่มแรนซัมแวร์หรือไม่) และเป็นการโจมตีอุปกรณ์ IoT หรือโจมตีแอปพลิเคชันบนเซิร์ฟเวอร์
ตามค่าเริ่มต้นการแสดงผลนี้จะแสดงช่องโหว่ที่ถูกเจาะระบบมากที่สุดในโลก แต่คุณยังสามารถกรองได้ตามประเทศ หรือจัดกลุ่มหรือแสดงตารางแสดงความผิดปกติแทนได้อีกด้วย
Attack statistics: Devices
ชุดข้อมูลนี้และช่องโหว่ที่เกี่ยวข้องจะแสดงภาพสแนปช็อตประจำวันเกี่ยวกับประเภทอุปกรณ์ที่โจมตี ซึ่งพบโดยเครือข่ายตรวจจับของฮันนี่พอต การเก็บลายนิ้วมือของอุปกรณ์เหล่านี้จะทำผ่านการสแกนประจำวันของเรา ซึ่งชุดข้อมูลดังกล่าวจะช่วยให้สามารถแกะรอยประเภทการโจมตี ผู้จำหน่ายอุปกรณ์ หรือรุ่นอุปกรณ์ที่เฉพาะเจาะจง และสามารถกรองได้ตามประเทศ
มีแผนภูมิที่คล้ายคลึงกับใน “สถิติทั่วไป” ที่แตกต่างออกไปคือแทนที่จะใช้แหล่งข้อมูลและแท็ก แต่คุณจะสามารถดู (และจัดกลุ่ม) การโจมตีประเภท, ผู้จำหน่ายอุปกรณ์ หรือ รุ่นได้แทน
หมวดหมู่การแสดงข้อมูลด้วยภาพเพิ่มเติม - นอกจากนี้ยังมีการเพิ่มระบบการเฝ้าระวังอีกด้วย:
ตารางประจำวันที่ปรับปรุงแล้วนี้แสดงอุปกรณ์โจมตีที่ใช้มากที่สุดที่พบตามที่อยู่ IP ต้นทางที่พบการโจมตี (หรือพบว่ามีความพยายามในการโจมตี หากคุณเลือกสถิติจำนวนครั้งที่พยายามเชื่อมต่อ) เนื่องจากชุดข้อมูลทั้งหมดที่แสดงในหมวดหมู่นี้ได้มาจากเครือข่ายตรวจจับของฮันนี่พอต ซึ่งจัดกลุ่มตามประเภทการโจมตีที่ตรวจพบ ผู้จำหน่าย และรุ่น (ถ้ามี) เราจะตรวจวัดอุปกรณ์ที่โจมตีจากที่อยู่ IP ที่เกี่ยวข้องพร้อมผลลัพธ์จากลายนิ้วมือการสแกนอุปกรณ์ประจำวัน (โปรดดู “สถิติจากอุปกรณ์ IoT”)
ตามค่าเริ่มต้น การแสดงผลจะแสดงอุปกรณ์ที่ใช้โจมตีมากที่สุด (ตามแหล่งข้อมูล) ที่พบการโจมตี (รวมถึงกรณีที่เราไม่สามารถค้นหาอุปกรณ์หรือค้นพบแต่เพียงผู้จำหน่าย เป็นต้น) คุณสามารถเลือกที่จะกรองตามประเทศ หรือจัดกลุ่มหรือแสดงตารางแสดงความผิดปกติแทนก็ได้