本文已参与「新人创作礼」活动,一起开启掘金创作之路。
linux应急和windows应急思路,主要说排查思路和命令
linux排查思路,主要是源码,日志分析,信息系统分析,使用d盾扫描是否有webshell存在,然后diff源码信息,查看被修改过的地方,日志分为网络日志和系统日志,网络日志主要是用find命令,系统日志使用last命令,还有就是系统信息分析,一般客服给上传脚本就用脚本跑,有的客服不给上传脚本,呢么就用history命令,查看敏感目录,查看端口信息
windows主要集中在账户,日志,端口查询,和linux大同小异
天眼的部署方式
旁路部署,交换机牵引流量
成功的日志分析案例
常见的日志,不论是网络日志还是系统日志,都是看数字,网络日志中如果短时间内出现大量的404,或者是系统日志中出现大量的4625,都是代表一些含义,弄清楚入侵者在做什么,怎么进来的,通过匹配一些特征值来确定,在linux中用grep和egrep来进行筛选,在windows中用log parse。
如何溯源攻击者,攻击者画像
拿到权限,窃取数据,获取利益,ddos等 代理ip,跳板机,C2服务器等 鱼叉式邮件钓鱼,web渗透,水坑攻击,进源渗透,社会工程等
ip定位 id追踪术网站url
HTTP的TCP的区别
tcp在第四层,http在第七层
http是一个简单的请求-响应协议 tcp是一个面向连接的,可靠的,基于字节流的传输层通信协议,http运行在tcp之上
天眼
&&双写,字符AND要大写
字段为sip dip 表示原ip,目的ip,后面加冒号加具体字段
天眼:基于网络流量和终端EDR日志,运用威胁情报,规则引擎,文件虚拟执行,机器学习等技术,精准发现网络中针对主机与服务器的已知高级网络攻击和未知的新型网络攻击的入侵行为
NGSOC(安全态势感知与安全运营):以大数据平台为基础,通过收集多元,异构的海量日志,利用关联分析,机器学习,威胁情报等技术,帮助政企客服持续监测网络安全态势,实现从“被动防御”向“主动防御”的进阶
天眼只是对流量进行分析,ngsoc做到了分析 检测 处置 闭环能力
