技战法---全局日志分析,有效促进溯源和防护

原创 已于 2024-11-29 14:32:56 修改 · 1.8k 阅读 · 14 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#网络 #安全
于 2024-08-12 10:35:08 首次发布

目录 

战法一:态势感知攻击检测

1.战法目标

2.实现思路

3.使用方法

4.重点工作内容

战法二:攻击溯源

1.战法目标

2.实现思路

3.使用方法

4.重点工作内容

战法三:终端防护

1.战法目标

2.实现思路

3.使用方法

4.重点工作内容

5.价值总结

综述

战法一:态势感知攻击检测

1.战法目标

在各类安全设备的告警中,误报比例普遍较高,这无疑加大了系统辨别真实攻击并及时响应的难度。通过统一日志平台,可以对关键信息进行快速查询检索,极大提高攻击检测效率。

2.实现思路

通过日志系统快速统计分析各类设备的告警事件,实现告警事件合并,例如出现频率分析,重要分组字段的快速统计分析,直接高效输出可疑源IP地址表单等。根据源地址、目的地址对安全事件进行分析,结合用户名称,看用户的活动痕迹,结合安全事件的发生区域,最终要达成的一个目的,就是鉴定此次攻击的攻击结果。

3.使用方法

在演习中利用日志易平台的SPL(Search Processing Language)和高性能分析引擎Beaver,用户可实现单一设备日志的聚合、跨设备日志的关联以及不同时间段数据集的对比,进而实现对普通安全设备告警日志的降噪处理,还可以关联威胁情报(IP地址、文件HASH等维度),最终提高告警精准度。

  1. 单一维度安全场景统计分析,针对FW,IDS,IPS,WAF,流量检测等安全网络设备日志以及系统日志进行归并分析,快速识别恶意程度更高的攻击IP,减少误报;
  2. 多维度安全场景关联分析,针对FW,IDS,IPS,WAF,流量检测等安全网络设备日志以及系统日志进行分析,对不同数据源进行关联,如发现同时在不同数据源中出现的异常IP或账户;

4.重点工作内容

  1. 场景一:同一日志关联分析。WAF 发现注入尝试攻击事件,但服务器正常响应。就可以建立这么一个查询分析,过滤 WAF 日志中出现注入告警且关键字匹配到 sleep 函数类,但关联状态码字段值为“200”(正常响应)的日志,并对这些过滤出的事件日志进行针对性分析,对攻击类型、源地址、目的地址进行分组展示。
  2. 场景二:对多源日志关联分析。同一个源地址触发了不同设备规则库的规则,这个源地址可能执行了一些风险很高的操作,属于攻击检测,这时我们对多源日志进行关联分析。
  3. 场景三:当服务器出现新实体、新账户或新进程时的检测。这可以通过与以往时间状态的实体或进程相比进行发现。这是攻击检测的白名单检测模式。

战法二:攻击溯源

1.战法目标

在演习中,通过日志系统对攻击方的攻击行为、遗留文件、身份信息等进行分析和判断,发现定位攻击者,及时将溯源信息报告指挥部。

2.实现思路

现场监测组通过各类安全设备、安全系统可以发现可疑威胁,可以通过接入边界安全防护类设备、应用安全防护类网络威胁检测类设备、流量检测类设备、主机防护类设备、终端管理类设备、端点防护类设备,进行溯源取证分析,往往可以帮助我们分析出可疑威胁发生的真正原因。

3.使用方法

通过日志易收集的原始事件日志(比如流量、终端日志),进行溯源取证分析。可以将可疑威胁统计分析的结果与已知威胁的监控检测结果进行对比分析,通过异常告警、事件发现,按照时间轴顺序,对可疑威胁的上下文进行分析。分析可疑威胁发生前后执行的动作

4.重点工作内容

通过日志系统,对网络设备、安全设备、主机系统及应用系统进行了全面日志收集。

在演习中,典型场景如下:

  1. 攻击IP或用户协助识别

     1、表象:态势感知平台发现可疑攻击用户

     2、日志易作用:通过日志协助确定用户操作行为

     3、对该用户登录失败频度、AC登录时间、IIS源IP进行逐一验证,确定是否为本人正常操作。

战法三:终端防护

1.战法目标

通过日志系统的报表和告警功能实现企业个性化监测的需求。

2.实现思路

在终端安全防护时,不仅需要对设备漏洞的管理,在终端上的不安全配置也要重点防护,如密码管理中的弱口令等;关注应用 Web 后台是否暴露在互联网。而且不仅仅需要针对应用系统(操作系统、中间件以及数据库)进行安全基线检查,还需要对网络设备、安全设备进行安全基线检查和登录监控。

3.使用方法

  1. 登录操作监控:账户频繁登陆失败、登录成功、多机异常登录、多账号登录等;
  2. 敏感指令监控: history、whoami、ifconfig、netstat、traceroute、last命令;
  3. 进程监控:新增进程、新增端口、新建主机连接、减少进程、减少端口监听、减少主机连接等情况;
  4. 敏感进程之间相互调用的监控:典型场景是web进程调用系统后台执行脚本的情况。

4.重点工作内容

真实场景如下:

  1. AD安全事件分析
  1. 内网渗透mimikatz工具利用zerologon攻击AD服务器,需要关注eventid为4648 ,4742,4624,5805,
     5829,5827,5828,5830,5831的事件
  2. 作用:指定IP对即先出现5829(在初始部署阶段允许存在漏洞的Netlogon安全通道连接)、再出现5827、5828(存在漏洞的Netlogon连接被拒绝时触发)、 5830,5831(如果“域控制器:允许易受攻击的Netlogon安全通道连接”组策略允许连接),最后出现4648(攻击成功时出现)

5.价值总结

通过日志系统对进程、系统日志、审计日志的多类分析,监测了终端层的可疑安全事件。提高了终端防护能力。

综述

综上,通过部署日志系统,实现了从日志角度对集团数据中心各应用系统、网络及安全设备的全面安全态势进行感知,助力高效开展攻击溯源工作,有效地监测终端异常行为,提高了终端防护能力。

网络安全-技战法.pdf
08-12
技战法.pdf
网络安全防护技战法报告.docx
06-10
网络安全防护技战法报告 一、防守技战法概述 为了顺利完成本次护网行动任务,切实加强网络安全防护能力,XXXX设立HW2019领导组工作组,工作组下设技术组协调组。护网工作组由各部门及各二级单位信息化负责人组成,由股份公司副总裁担任护网工作组的组长。 为提高护网工作组人员的安全防护能力,对不同重要系统进行分等级安全防护,从互联网至目标系统,依次设置如下三道安全防线: 第一道防线:集团总部互联网边界防护、二级单位企业互联网边界防护。 第二道防线:广域网边界防护、DMZ区边界防护。 第三道防线:目标系统安全域边界防护、VPN。 根据三道防线现状,梳理出主要防护内容,包括但不限于:梳理对外发布的互联网应用系统,设备安全措施,明确相关责任人,梳理网络结构,重要的或需要重点保护的信息系统、应用系统与各服务器之间的拓扑结构,网络安全设备及网络防护情况, SSLVPNIPSECVPN接入情况。集团广域网、集团专线边界,加强各单位集团广域网、集团专线边界防护措施,无线网边界,加强对无线WIFI、蓝牙等无线通信方式的管控,关闭不具备安全条件及不必要开启的无线功能。 结合信息化资产梳理结果,攻防演习行动安全保障小组对集团信息化资产及重点下属单位的网络安全状况进行安全风险评估排查,确认薄弱环节以便进行整改加固。 二、 防守技战法详情 2.1 第一道防线--互联网边界及二级单位防护技战法 2.1.1 安全感知防御、检测及响应 构建从"云端、边界、端点"+"安全感知"的防御机制。相关防护思路如下: 防御能力:是指一系列策略集、产品服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。 网络安全防护技战法报告全文共9页,当前为第1页。检测能力:用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的"停摆时间"以及其他潜在的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。 网络安全防护技战法报告全文共9页,当前为第1页。 响应能力:系统一旦检测到入侵,响应系统就开始工作,进行事 处理。响应包括紧急响应恢复处理,恢复处理又包括系统恢复信息恢复。 2.1.2 安全可视及治理 l 全网安全可视 结合边界防护安全检测、内网检测、管理中心、可视化平台,基于行为关联分析技术,对全网的流量实现全网应用可视化,业务可视化,攻击与可疑流量可视化,解决安全黑洞与安全洼地的问题。 l 动态感知 采用大数据、人工智能技术安全,建立了安全态势感知平台,为所有业务场景提供云端的威胁感知能力。通过对边界网络流量的全流量的感知分析,来发现边界威胁。通过潜伏威胁探针、安全边界设备、上网行为感系统,对服务器或终端上面的文件、数据与通信进行安全监控,利用大数据技术感知数据来发现主动发现威胁。 2.1.3 互联网及二级单位的区域隔离 在互联网出口,部署入侵防御IPS、上网行为管理,提供网络边界隔离、访问控制、入侵防护、僵尸网络防护、木马防护、病毒防护等。 在广域网接入区边界透明模式部署入侵防御系统,针对专线接入流量进行控制过滤。 办公网区应部署终端检测响应/恶意代码防护软件,开启病毒防护功能、文件监测,并及时更新安全规则库,保持最新状态。 服务器区部署防火墙WEB应用防火墙,对数据中心威胁进行防护;汇聚交换机处旁路模式部署全流量探针,对流量进行监测并同步至态势感知平台;部署数据库审计系统,进行数据库安全审计。 在运维管理区,部署堡垒机、日志审计、漏洞扫描设备,实现单位的集中运维审计、日志审计集中漏洞检查功能。 2.1.3.1 互联网出口处安全加固 网络安全防护技战法报告全文共9页,当前为第2页。互联网出口处双机部署了因特网防火墙以及下一代防火墙进行出口处的防护,在攻防演练期间,出口处防火墙通过对各类用户权限的区分,不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。 网络安全防护技战法报告全文共9页,当前为第2页。 对能够通过互联网访问内网的网络对象IP地址进行严格管控,将网段内访问IP地址段进行细化,尽量落实到个人静态IP。 开启精细化应用控制策略,设置多条应用控制策略,指定用户才可以访问目标业务系统应用,防止出现因为粗放控制策略带来的互联网访问风险。 对所有通过联网接入的用户IP或IP地址段开启全面安全防护策略,开启防病毒、防僵尸网络、防篡改等防护功能。 通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生,减少安全事件发生概率。 护网行动开始之前,将防火墙所有安全规则库更新到最新,能够匹配近期发生的绝大部分已知威胁,并通过SAVE引擎对未知威胁进行有效防护。 攻防演练期间,通过互联网访问的用户需要进行严格的认证策略上网策略
车辆侦查系统之侦查技战法(1)
热门推荐
阿丹的彩蛋
09-29 2万+
安防视频侦查.车辆侦查.技战法.解决业务问题的套路
hw技战法整理参考
战神/calmness的博客
07-29 1万+
首先通过安全设备的报警,如态势感知等系统进行判断,将扫描IP、木马、威胁阻断、入侵等事件的攻击IP获取出来,通过对日志流量分析,异常的通讯流量攻击源目标进行筛选,对钓鱼右键,钓鱼网站URL进行分析,提取敏感IP,通过蜜罐捕获,获取攻击方IP。对于系统一些敏感、高危操作的功能,通过埋点,对涉及业务系统账号的操作行为纳入监控,可精准追踪各业务系统账号登录后的相关操作行为,可知谁在什么时间段做了什么操作,接入风控平台实时监控,一旦发现反常规操作,立即响应确认,封禁账号,查看日志记录,排查系统问题。
(必看)红蓝对抗|常见技战法总结
2301_77472496的博客
04-23 3534
总结了一些常见红蓝对抗战法
红军九大技战法
baimaozi008的博客
06-21 1317
针对前期采集的人员信息,发送特定主题的钓鱼邮件,如补丁更新、投诉举报、简历投递、安全演习通告等。伪装成电信人员进入对方机房检查网络,将笔记本通过网线接入内网直接开始渗透。进入目标单位办公区,趁安保等工作人员不注意,向无人值守的办公电脑植入远控木马。往目标单位附近投放大量U盘,U盘上带有单位Logo,诱骗员工拾取并插入办公电脑。
日志分析溯源防护
weixin_65633498的博客
01-13 1370
就可以建立这么一个查询分析,过滤 WAF 日志中出现注入告警且关键字匹配到 sleep 函数类,但关联状态码字段值为“200”(正常响应)的日志,并对这些过滤出的事件日志进行针对性分析,对攻击类型、源地址、目的地址进行分组展示。实现思路 现场监测组通过各类安全设备、安全系统可以发现可疑威胁,可以通过接入边界安全防护类设备、应用安全防护网络威胁检测类设备、流量检测类设备、主机防护类设备、终端管理类设备、端点防护类设备,进行溯源取证分析,往往可以帮助我们分析出可疑威胁发生的真正原因。提高了终端防护能力。
hvv之技战法
weixin_45997442的博客
05-05 1554
*
缺少全局视角,局部网络日志不足以支撑有效溯源
图幻未来的博客
04-11 530
在当今数字化时代,网络安全已经成为了企业组织必须关注的核心议题之一。从内部网络攻击到外部网络威胁,各种安全事件层出不穷,给企业个人带来了巨大的损失风险。在网络攻击的追踪与溯源过程中,日志数据发挥着至关重要的作用。然而,在实际工作中,由于多种原因导致的网络日志记录不足或质量不高,使得有效溯源变得更加困难。本文将着重探讨这一问题,并提出相应的解决策略建议。
如何通过日志分析快速发现 Web 攻击痕迹?
最新发布
@云安全小杜
12-09 514
日志是安全的最后一道防线,也是最早可利用的检测手段掌握基础命令,即可在无专业工具情况下快速响应对高价值业务,建议结合云防护服务获取更高质量日志如果你也在做安全日志分析,欢迎加入我们的技术交流群。群里有不少运维安全朋友,经常分享日志分析脚本、攻击特征库、自动化巡检方案,一起交流实战经验。
HVV(护网)蓝队视角的技战法分析
HUANGXIN9898的博客
10-23 3041
智能新型技术的广泛应用,信息基础架构层面变得更加复杂,传统的安全思路已越来越难以适应安全保障能力的要求。必须通过新思路、新技术、新方法,从体系化的规划建设角度,建立纵深防御体系架构,整体提升面向实战的防护能力。从应对实战角度出发,对甲方现有安全架构进行梳理,以安全能力建设为核心思路,面向主要风险重新设计政企机构整体安全架构,通过多种安全能力的组合结构性设计,建立起能够具备实战防护能力、有效应对高级威胁、持续迭代演进提升的安全防御体系。CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
红蓝对抗(必看)|常见技战法总结(非常详细)零基础入门到精通,收藏这一篇就够了
Libra1313的博客
05-09 4780
***伪装 、异构、阻断、拦截、诱捕、排查 6步法1、伪装关键应用指纹伪装常用中间件、更改http协议header头的server字段。可将linux改为IIS6.0。修改中间件配置文件,将移动通讯app的web服务页面配置成“错误”页面返回信息。修改网关系统配置指纹,将邮件系统指纹改为“Moresec HoneyPot”,转移攻击者注意力。
技战法丨攻防演练防御——纵深、联动、诱捕(可搬运、可cv)
m0_62783065的博客
08-04 1750
技战法丨攻防演练防御——纵深、联动、诱捕(可搬运、可cv)
HVV(护网)蓝队视角的技战法分析_护网技战法报告,美团网络安全面试
m0_61331573的博客
04-05 1596
HVV行动是国家应对网络安全问题所做的重要布局之一。从2016年开始,随着我国对网络安全的重视,演习规模不断扩大,越来越多的单位都加入到HVV行动中,网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需,而2023年的国家HVV目前已经结束。HVV一般分为红蓝两队,也称为红蓝对抗,红队为攻击队,蓝队为防守队。刚开始,蓝队会有初始分值,一旦被攻击成功就会扣除相应的分。而每年对于蓝队的要求都逐渐严格起来,2020年以前蓝队只要能发现攻击就能加分,或者把扣掉的分补回来。
技战法:保护数据免受恶意攻击
we_solo的博客
08-09 640
通过采取综合的安全措施,包括身份访问管理、数据加密、防火墙入侵检测系统、安全审计日志管理、员工培训安全意识、定期演练渗透测试等,组织可以最大程度地保护其数据免受攻击。例如,将数据分为公开数据、内部数据机密数据,并为每个等级制定相应的访问控制安全措施。此外,实施定期的账户审计及时撤销离职员工的访问权限也是重要的措施。配置防火墙规则以限制对数据存储共享系统的访问,并实施实时监控警报,以及自动阻止可疑活动。定期进行安全评估渗透测试,并与安全社区同行进行信息共享合作。
Hvv蓝队技战法
leah126的博客
01-11 1569
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…重点关注内网扫描探测,异常网络连接,非法外联等事件。技术文档也是我自己整理的,包括我参加大型网安行动、CTF挖SRC漏洞的经验技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
HVV(护网)蓝队视角的技战法分析_护网技战法报告,2024年最新40道网络安全面试
2401_83740189的博客
04-17 2257
HVV行动是国家应对网络安全问题所做的重要布局之一。从2016年开始,随着我国对网络安全的重视,演习规模不断扩大,越来越多的单位都加入到HVV行动中,网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需,而2023年的国家HVV目前已经结束。HVV一般分为红蓝两队,也称为红蓝对抗,红队为攻击队,蓝队为防守队。刚开始,蓝队会有初始分值,一旦被攻击成功就会扣除相应的分。而每年对于蓝队的要求都逐渐严格起来,2020年以前蓝队只要能发现攻击就能加分,或者把扣掉的分补回来。
日志溯源-入门
m0_49577923的博客
09-21 3806
日志溯源就是根据系统或者容器中的日志进行分析,可以了解到攻击者的攻击时间、ip、浏览器信息,计算机信息等,进而分析攻击者的攻击行为,攻击路径,攻击方法。日志溯源分为网站日志溯源系统日志溯源。可以通过分析得到的(真实的)ip进行溯源攻击者,分析攻击者对网站进行的操作猜解网站存在的漏洞以及攻击者的攻击方式,然后利用工具或者手工排查存在的可疑文件,并且进行删除。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值