来自 CC防护 2022-06-08 23:30 的文章

防ddos攻击_ddos怎么防御_无缝切换

防ddos攻击_ddos怎么防御_无缝切换

Palantir的博客正在增长!Palantirfollow2019年1月22日·2分钟阅读

2016年,我们推出了我们的媒体博客,以连接工程界。我们非常喜欢分享我们对建筑技术的看法。现在,我们很高兴能够扩展并开始分享我们对建立业务和文化的看法。帕兰提尔长期以来一直被认为是"秘密的"。的确,我们不能过多地谈论我们的许多客户使用我们软件的方式:情报分析员利用帕兰提尔·戈塔姆在机密环境中通过贸易工艺来促进国家安全。商业客户通常希望保护他们通过Palantir Foundry实现的竞争优势。但大部分情况下呢?用工程术语来说,这是一个bug,而不是一个特性,我们很高兴能推出一个修复方案。我们的客户是在我们日常生活中发挥关键作用的机构。他们保障我们的安全、食物和资金。他们制造我们乘坐的飞机和我们每天使用的产品。他们为我们的疾病寻求治疗,让我们保持联系,让我们娱乐。我们依靠它们来运作,所以我们也可以。我们认为我们的软件帮助他们做的工作很重要,我们希望全世界都能理解为什么。在未来的几个月里,在帕兰提尔工作的人们将利用这个空间揭开我们工作和哲学的面纱。您可以期望了解我们的客户如何使用Palantir Gotham和Palantir Foundry,nginxddos攻击防御,以及我们如何进入公司下一阶段的发展。我们将讨论我们的文化,我们培养人才的方法,以及我们应对困难问题的想法。数据正在改变我们机构的运作方式,Palantir正在改变我们机构使用数据的运作方式。在我们迎接2019年及以后的挑战之际,我们很高兴能向您介绍更多信息。-博客编辑

篡改Windows事件跟踪:背景、攻击防御Palantirfollow2018年12月24日·13分钟阅读

Windows事件跟踪(ETW)是Windows用于跟踪和记录系统事件的机制。攻击者通常清除事件日志以掩盖其踪迹。尽管清除事件日志的行为本身会产生事件,但熟悉ETW的攻击者可能会利用篡改机会暂时甚至永久停止日志流,在过程中不生成任何事件日志条目。

Windows事件日志是Palantir重大事件响应团队的许多警报和检测策略的数据源,因此熟悉事件日志篡改交易是我们成功的基础。我们不断评估我们关于事件数据源完整性的假设,记录我们的盲点,并调整我们的实施。这篇博文的目的是通过涵盖ETW背景和基础知识、隐蔽事件日志篡改技术和检测策略,与社区分享我们的知识。

ETW和事件日志简介

ETW体系结构区分事件提供者、事件消费者和事件跟踪会话。跟踪会话负责从提供者收集事件,并将它们转发到日志文件和使用者。会话由内置logman.exe命令行实用程序等控制器创建和配置。以下是一些有用的命令,用于探索现有跟踪会话及其各自的ETW提供程序;请注意,这些通常必须从提升的上下文执行。

列出所有正在运行的跟踪会话

>logman查询-etsData收集器集类型状态-----------------------------------------------循环内核上下文记录器跟踪运行AppModel跟踪运行ScreenOnPowerStudyTraceSession跟踪运行诊断日志跟踪运行事件日志应用程序跟踪运行事件日志系统跟踪运行LWTNETLOG跟踪运行NTFSLOG跟踪运行TILESTORE跟踪运行UBPM跟踪RunningWdiContextLog跟踪RunningWiFiSession跟踪RunningUserNotPresentTraceSession跟踪RunningDiagtrack侦听器跟踪RunningMSDTC_跟踪_会话跟踪RunningWindowsUpdate_跟踪_日志跟踪RunningWiFiSession跟踪RunningUserNotPresentTraceSession跟踪RunningDiagtrack侦听器跟踪RunningMSDTC_跟踪_跟踪运行Windows更新_跟踪_跟踪订阅了

>logman查询"EventLog应用程序"-etsName:EventLog应用程序状态:RunningRoot路径:%systemdrive%\PerfLogs\AdminSegment:OffSchedules:OnSegment最大大小:100 MB名称:EventLog应用程序\EventLog应用程序类型:TraceAppend:OffCircular:OffOverwrite:OffBuffer大小:64缓冲区丢失:0缓冲区写入:242缓冲区刷新计时器:1锁类型:系统文件模式:实时提供程序:名称:Microsoft Windows传感器提供程序Guid:{B6D775EF-1436-4FE6-BAD3-9E436319E218}级别:255KeywordsAll:0x0KeywordsAny:0x80000000000000(Microsoft Windows SenseIR/Operational)属性:65筛选器类型:0提供程序:名称:Microsoft Windows WDAG服务提供程序Guid:{728B02D9-BF21-49F6-BE3F-91BC06F7467E}级别:255KeywordsAll:0x0KeywordsAny:0x80000000000000属性:65筛选器类型:0。。。提供程序:名称:Microsoft Windows PowerShell提供程序Guid:{A0C1853B-5C40-4B15-8766-3CF1C58F985A}级别:255KeywordsAll:0x0KeywordsAny:0x90000000000(Microsoft Windows PowerShell/Operational,cc攻击防御服务,Microsoft Windows PowerShell/Admin)属性:65筛选器类型:0

此命令详细说明跟踪会话本身的配置,然后是会话订阅的每个提供程序的配置,包括以下参数: