热门标签
热门文章
- 1Bert模型实现中文新闻文本分类_中文文本分类模型
- 2文献学习-31-内窥镜摄像机运动模仿学习的深度齐次变换预测_内窥镜摄像系统文献有哪些
- 3如何搭建质量团队?_质量团队搭建
- 4四、初识C语言(4)
- 5一款跨空间、跨平台、能分享、能搜索常用文件内容、能识别图片文字的全能搜索工具_如何能搜网络盘的文件内容 csdn
- 6IntelliJ IDEA 2020.3 新特性——Show me the code系列
- 78人团队历时半年打造开源版GPT-4o,零延迟演示引爆全网!人人可免费使用!_chatgpt-4o 开源吗
- 8【最新排名(按点赞)】投票倒计时三天:继续为你喜欢的征文作品投票吧!...
- 9Android 面试知识点_android面试考些什么
- 10OpenCV 轮廓检测
当前位置: article > 正文
天眼安全设备的初步使用_天眼安全设备规则编写
作者:从前慢现在也慢 | 2024-07-20 09:46:29
赞
踩
天眼安全设备规则编写
- 天眼三大功能:传感器(对流量解析还原,发现网络攻击和web攻击能力) 沙箱(发现恶意样本投递能力) 分析平台(存储历史流量,分析威胁和溯源能力)
- 天眼威胁感知: 警告类型:APT攻击 威胁级别:高危 攻击结果:失陷 攻击次数:3
- 天眼搜索:源IP sip 目的IP dip 地理信息:境内还是境外 搜索示例:(sip:"192.168.1.1")OR(dip:"192.168.1.1")
- 天眼类别:
- 威胁感知
- 调查分析
- 场景化分析
- 日志检索 例子:search sip:"10.1.1.1/8" |tcp 100 dip
- 资产
- 报表
- 安全服务
- 系统管理
- 天眼语法:
- 天眼分析:
- web攻击分析思路:
- web攻击:查看请求包 与 响应包(有没有报红,有没有攻击成功)
- 查看告警详情(查看请求头、请求体内容,定位到告警攻击动作的payload)
- 分析攻击动作是什么(读取文件、打印输出内容、写入文件和尝试下载文件,执行函数或命令 XSS XXE webshell等)
- 分析响应(分析告警响应头,响应体,网络行为是否有动作预期的结果)
- 僵木蠕毒类告警分析思路:
- 爆破和踩点行为分析:
- 登录爆破类:单个IP,使用多个用户名和密码组合进行登录尝试,导致短时间内大量登录失败
- 目录和资源爆破:短时间内访问大量url,触发大量404
- 手段:1.找到爆破行为IP,阻断爆破行为 2.找到攻击成功的IP 3.分析攻击IP的操作,编写事件报告
- ftp爆破:
- 日志检索使用天眼语法搜索爆破IP:normal_ret:failed AND proto:ftp
- 判断爆破成功行为:normal_ret:success AND proto:ftp AND sip:(攻击ip1 OR 攻击ip2)
- ssh爆破:
- 日志检索使用天眼语法搜索爆破IP:normal_ret:failed AND proto:ssh
- 判断爆破成功行为:normal_ret:success AND proto:ssh AND sip(攻击ip1 OR 攻击ip2)
- 数据库爆破:
- normal_ret:failed AND proto:(oracle OR mysql OR mssql OR postgresql)
- normal_ret:success AND proto:(oracle OR mysql OR mssql OR postgresql) AND sip:(攻击IP1 OR 攻击IP2)
- 远程桌面爆破:
- normal_ret:failed AND proto:rdp
- normal_ret:success AND proto:rdp AND sip:(攻击IP1 OR 攻击IP2)
- web登录入口爆破:
- 对弱口令就行分析:uri:爆破路径 AND sip:攻击ip,查找爆破的流量日志
- 目录和资源猜解:
- 根据域名和攻击ip进行分析:host:域名 AND sip:攻击IP,查询攻击IP的访问记录是否触发大量404响应
- web攻击分析思路:
- 天眼失陷事件处理:
- 发现webshell和主机木马:
- 确认创建时间、功能分析等,查看访问日志,攻击行为记录等,通知主机所属人
- 对发现的webshell文件或木马进行排查处置
- 对webshell攻击路径进行溯源
- 溯源分析:
- 纵向溯源:定位时间:webshell首次访问前5-10分钟,网站受到什么攻击。uri:"webshell文件名" AND host:"域名",找到首次访问前5-10分,搜索条件可更改为: host:"域名",查看是否存在可疑的攻击行为。
- 横向溯源:查询所有访问木马的IP进行排查,排除自身验证和已知的IP外,以访问木马为突破点,查找访问木马的IP还访问了什么网址,进而找到其他后门文件。
- 中转代理:
- 关注点:时间 IP 日志 处置结果
- 方案:第一时间阻断清除代理,然后进行溯源分析,查询所有访问木马的IP进行排查,排除自身验证和已知的IP外,以访问木马为突破点,查找访问木马的IP还访问了什么网址,进而找到其他后门文件。
- 账号异常:
- 关注点:异常账号 创建时间 访问日志 登录日志 处置结果
- 方案:找到确认为爆破行为的IP后,查找爆破IP登录成功的流量,提取出来sip和用户名和密码。部分协议无法获得密码,但能确认登录成功行为。
- 发现webshell和主机木马:
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/从前慢现在也慢/article/detail/856242
推荐阅读
相关标签
