红蓝对抗--蓝队_护网蓝队工作内容

2019年参加护网行动的时候，想着是信安专业，可以去赚点零花钱。
蓝队的工作。。。。。后面总结了一下护网行动和蓝队的一些工作重心。刚刚换电脑的时候翻出来了这个文章。只是个人拙见，大佬勿喷。

---

下面是我对红蓝对抗中蓝队工作的一些总结：

一、团队组建

在团队建设时，蓝队主要分为四个部门：
1、指挥中心：主要进行统筹，管控蓝队事务。
2、监测小组：主要对流量监控平台、日志平台等系统进行7*24小时监控；以保证可以及时的发现各种攻击行为，对攻击者的IP进行封堵。
3、快速反应小组：主要是配合监控小组对发现的攻击行为进行分析，判断攻击的真实性及危险性，提出处置建议，部分还有进行溯源。
4、应急保障小组：主要对演习过程中的各种突发的安全事件，进行及时的处理。

---

二、梳理资产

资产梳理，我们更好的了解企业系统架构，可以提前针对系统的安全性或脆弱面给出建议，可以在对抗过程中更加全面的对系统进行防御。资产信息主要包括业务资产、设备资产、外包/第三方服务资产等。
1、业务资产信息
业务系统名称、业务系统类型、服务器类型、域名/IP地址、服务端口、版本、系统部署位置、开发框架、中间件、数据库、责任人、维护人员
2、设备资产信息
设备名称、设备版本号、固件版本号、IP地址、部署位置、责任人、维护人员
3、外包/第三方服务资产信息
厂商联系方式、系统名称、系统类型、IP/URL地址、部署位置、责任人、维护人员、厂商联系方式、第三方值班人员

---

三、风险梳理

1、基础设施风险
主要对资产中各种网络设备，安全设备，服务器等进行检查，防患于未然，对已经发现的漏洞或不安全因素进行及时修补。
2、帐号权限梳理
弱口令是最简单，但是最直接的攻击方式。我们在账号权限管理过程中，主要对各种设备，系统、服务器的密码进行核查，防止出现弱口令、闲置口令、测试账号等。
3、互联网风险排查
主要是对企业的冗余资产进行检查，测试环境，旧版本系统，未使用但是没下线的系统等缺少维护的资产进行清理检查。

---

四、减少攻击面

进行完资产的梳理，我们对企业内部的资产的安全性已经有了一个了解，这个时候，我们需要根据我们资产梳理的结果进行收敛。
1、核心资产，重点防护；边缘资产，进行边界防护；不安全资产，及时整改防御
2、对不稳定，或者关闭之后影响较小的系统进行关闭，减少攻击面。或者仅开放核心业务系统。
3、培养企业员工的安全意识，防止出现钓鱼、社工攻击等行为。

附部分查看系统是否有可疑行为的方式

1、查看当前登录用户

query user
1

2、查看系统中所有的用户

（1）net user
（2）开始 运行 -lusrmgr.msc
（3）查看C:\User目录排查是否有新建用户的目录
1
2
3

3、查看是否有隐藏账号、克隆账号

（1）开始 运行 regedit
（2）查看注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 中是否有异常
1
2

4、注册表查看启动项

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
1

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
1

命令行查看启动项

wmic startup list full
1

组策略中查看启动项
运行 gpedit.msc

5、Recent目录
此目录可以看到程序或文件最后被打开和使用的日期

C:\Users\Administrator\Recent
1

6、windows日志
计算机-管理-事件查看器-windows日志-安全（或者eventvmr.msc）
根据时间排查安全日志中的登录事件，用户创建等事件情况。
着重寻找登录事件（ID4624）且登录类型为3和0的远程登录方式

windows安全日志文件：

C:\Windwos\System32\winevt\Logs\Security.evtx
1

查看其大小是否为20M左右，如果远远小于20M\zeyoukeneng被清理过。

7、排查可疑进程
查看可疑网络连接

netstat -b -n
1

根据网络连接寻找pid

netstat -ano | findstr xxx
1

根据pid寻找进程

tasklist | findstr xxx
1

杀死可疑进程

taskkill /T /F /PID xxxx
1

8、排查计划任务

schtasks /query /fo table /v
运行 -taskchd.msc
1
2

9、排查系统服务

运行service.msc
1