天眼安全设备的初步使用
- 天眼三大功能:传感器(对流量解析还原,发现网络攻击和web攻击能力) 沙箱(发现恶意样本投递能力) 分析平台(存储历史流量,分析威胁和溯源能力)
- 天眼威胁感知: 警告类型:APT攻击 威胁级别:高危 攻击结果:失陷 攻击次数:3
- 天眼搜索:源IP sip 目的IP dip 地理信息:境内还是境外 搜索示例:(sip:"192.168.1.1")OR(dip:"192.168.1.1")
- 天眼类别:
- 威胁感知
- 调查分析
- 场景化分析
- 日志检索 例子:search sip:"10.1.1.1/8" |tcp 100 dip
- 资产
- 报表
- 安全服务
- 系统管理
- 天眼语法:
- 天眼分析:
- web攻击分析思路:
- web攻击:查看请求包 与 响应包(有没有报红,有没有攻击成功)
- 查看告警详情(查看请求头、请求体内容,定位到告警攻击动作的payload)
- 分析攻击动作是什么(读取文件、打印输出内容、写入文件和尝试下载文件,执行函数或命令 XSS XXE webshell等)
- 分析响应(分析告警响应头,响应体,网络行为是否有动作预期的结果)
- 僵木蠕毒类告警分析思路:
- 爆破和踩点行为分析:
- 登录爆破类:单个IP,使用多个用户名和密码组合进行登录尝试,导致短时间内大量登录失败
- 目录和资源爆破:短时间内访问大量url,触发大量404
- 手段:1.找到爆破行为IP,阻断爆破行为 2.找到攻击成功的IP 3.分析攻击IP的操作,编写事件报告
- ftp爆破:
- 日志检索使用天眼语法搜索爆破IP:normal_ret:failed AND proto:ftp
- 判断爆破成功行为:normal_ret:success AND proto:ftp AND sip:(攻击ip1 OR 攻击ip2)
- ssh爆破:
- 日志检索使用天眼语法搜索爆破IP:normal_ret:failed AND proto:ssh
- 判断爆破成功行为:normal_ret:success AND proto:ssh AND sip(攻击ip1 OR 攻击ip2)
- 数据库爆破:
- normal_ret:failed AND proto:(oracle OR mysql OR mssql OR postgresql)
- normal_ret:success AND proto:(oracle OR mysql OR mssql OR postgresql) AND sip:(攻击IP1 OR 攻击IP2)
- 远程桌面爆破:
- normal_ret:failed AND proto:rdp
- normal_ret:success AND proto:rdp AND sip:(攻击IP1 OR 攻击IP2)
- web登录入口爆破:
- 对弱口令就行分析:uri:爆破路径 AND sip:攻击ip,查找爆破的流量日志
- 目录和资源猜解:
- 根据域名和攻击ip进行分析:host:域名 AND sip:攻击IP,查询攻击IP的访问记录是否触发大量404响应
- web攻击分析思路:
- 天眼失陷事件处理:
- 发现webshell和主机木马:
- 确认创建时间、功能分析等,查看访问日志,攻击行为记录等,通知主机所属人
- 对发现的webshell文件或木马进行排查处置
- 对webshell攻击路径进行溯源
- 溯源分析:
- 纵向溯源:定位时间:webshell首次访问前5-10分钟,网站受到什么攻击。uri:"webshell文件名" AND host:"域名",找到首次访问前5-10分,搜索条件可更改为: host:"域名",查看是否存在可疑的攻击行为。
- 横向溯源:查询所有访问木马的IP进行排查,排除自身验证和已知的IP外,以访问木马为突破点,查找访问木马的IP还访问了什么网址,进而找到其他后门文件。
- 中转代理:
- 关注点:时间 IP 日志 处置结果
- 方案:第一时间阻断清除代理,然后进行溯源分析,查询所有访问木马的IP进行排查,排除自身验证和已知的IP外,以访问木马为突破点,查找访问木马的IP还访问了什么网址,进而找到其他后门文件。
- 账号异常:
- 关注点:异常账号 创建时间 访问日志 登录日志 处置结果
- 方案:找到确认为爆破行为的IP后,查找爆破IP登录成功的流量,提取出来sip和用户名和密码。部分协议无法获得密码,但能确认登录成功行为。
- 发现webshell和主机木马:
天眼安全设备的初步使用相关推荐
- Windows驱动开发 - 设备对象初步学习
新建一个myhellodevice.c: 代码如下:makefile和sources如前文: #include <ntddk.h>#define NTDEVICE_NAME_STRING ...
- matlab6.0序列号,MFC软件获取USB设备的制造商、产品、序列号
PVOID buf = malloc(100); char * buf1 = (char *)malloc(100); PVOID buf2 = malloc(100); char * buf3 = ...
- 【RK3399】Android平台增加一款声卡设备(ES7210+ES8156),进行录音/播放测试。
文章目录 前言 一.开发环境 二.概述 三.硬件介绍 1.ES7210 2.ES8156 3.数字麦克风阵列 4.音频示意图 四.下载SDK 五.编译.烧写 1.u-boot 2.kernel 3.A ...
- RHEL 5基础篇—了解系统的引导过程
了解系统的引导程序 linux操作系统的引导过程一般包括以下几个阶段:开机自检.MBR引导.GRUB菜单.加载Linux内核.INIT进程初始化. 其中INTI进程初始化过程涉及的操作最多,也不好理 ...
- Linux安装及服务控制
Linux安装及服务控制 一. 版本 Red Hat 企业版 Red Hat Enterprise Linux (简称RHEL) http://www.redhat.com Fedora社区版 ...
- 10 Linux引导过程和服务控制
Linux引导过程和服务控制 一 引导过程 开机自检→MBR引导→GRUB菜单→加载内核→运行INIT进程 →读取配置文件 1 开机自检 根据主板bios中的设置对CPU.内存.显卡.等硬件设备进行初 ...
- 计算机网络基础ios指令,蔡少云——计算机网络实验:IOS命令基础及交换机基本配置.doc...
<计算机网络实验>实验报告 学 院 管理学院 专 业 电子商务 年级班别 2013级1班 学 号 3213004774 学生姓名 蔡少云 指导教师 黄益民 成 绩_____________ ...
- Linux引到过程与服务控制
目录 一.linux的开机启动过程 二.系统初始化进程init和Systemd 2.1 init进程 2.2 Systemd 2.3systemd单元目标 三.排除启动类故障 3.1修复MBR扇区故障 ...
- 开发你的酷炫装备 Jetson TX1使用指南
创客们的最酷"玩具" 智能无人机.自主机器人.智能摄像机.自动驾驶--今年最令硬件创客们着迷的词汇,想必就是这些一线"网红"了.而这些网红的背后,几乎都和计算机 ...
最新文章
- Linux学习笔记之文件管理和目录管理类命令
- 39[dropbox etc]
- 写Java程序要体现面向对象
- Maplesoft MapleSim2020中文版
- 1165: 零起点学算法72——首字母变大写
- smem – Linux 内存监视软件
- HANA live report - metadata retrieve - where I can find it in HANA studio
- 开源项目Hopsan代码梳理、流程分析
- codeforces 1017E
- 个人笔记 vue npm redis
- C#使用Advanced CSharp Messenger
- 测测你的杀毒软件强弱等级吧!!!!!
- ElasticSearch三种分页方式以及各优缺点(一文知道如何抉择)
- JAVA 实现《坦克大战》游戏|CSDN创作打卡
- 为什么Excel表格只有部分单元格可编辑?
- 圣斗士星矢游戏抽奖计算机怎么计算,圣斗士星矢手游最划算抽奖方式推荐
- 大牛的学习笔记:步进电机驱动在3D打印应用
- 什么是hql,与sql的区别
- 中国与日本的年轻人 为何如此不同?
- @Slf4j是啥,它是干啥的
热门文章
- 解决jdbc连接数据库出现的问题: Sun Jan 30 18:46:54 CST 2022 WARN: Establishing SSL connection without server‘s i
- 01-JAN-20转化为日期格式
- wordpress实时在线聊天室
- 国企面试 计算机专业,在国企面试中,计算机维护岗位面试会问什么10 爱问知识人...
- [macOS]_[初级]_[关于程序签名时出现User interaction is not allowed的问题]
- Android核心功能
- Android中的su命令使用
- 安装RocketChat报错:npm WARN saveError ENOENT: no such file or directory, open ‘/tmp/bundle/programs/web.
- CentOS下Oracle11g部署
- 计算机音乐文献,论音乐文献计算机编郭小株.pdf