来自 DDOS 2021-02-20 13:02 的文章

H5高防_防止_棋牌游戏上高防

H5高防_防止_棋牌游戏上高防

大规模地进行威胁搜索并不是一项简单的任务。如今,许多组织都要处理大量的数据,每月、每周或每天都要查看数TB的信息。寻找新的行为并使用数据来调整和增强功能是一个持续的过程。我的上一个组织每天在Splunk中接收到500多Gb的炭黑响应数据。当我们努力实现我们的程序时,我们生成并使用了一些不同的工具来帮助我们大规模地管理观察列表和提要。在最近一次关于炭黑的威胁搜索网络研讨会上,我浏览了三个练习,这些练习演示了狩猎成熟度模型的进展,并展示了财富150强安全计划如何随着时间的推移而运行。本文将把每一种技术分解成简单的可重复的块,这样您就可以开始了解自己在光谱中的位置,防御ddos最省钱的方法,以及如何进行渐进式的改进。如果您还没有设置CBAPI环境,请从Carbon Black dev Relationships团队查看这段有用的设置视频。本文中的每个附加技术都将有一个工具可供下载,并提供如何使用它的示例。基线技术1推荐工具:炭黑回复+测量师在redcanary,我们使用cbresponsesurveyor来帮助理解组织环境中正在执行什么。我们的CSO,Keith McCammon,写了一篇关于如何开始使用Surveyor的文章。在为一个组织建立基线时,有时我们会发现一些可疑的东西。很多时候,它可能不是APTx,而是一个可以增强的it控件。Surveyor可以用类似于炭黑UI过程搜索的方式使用,但将其转储到CSV中提供了更多分析数据的方法。测量员说明:从Github下载Surveyor。下载后,运行"帮助"查看所有功能。在您的环境中执行一个简单的运行并查看输出文件。定义文件可以是任何东西。试着添加尽可能多的变量,这样你就不会错过任何东西。请查看这些定义以开始。你会注意到这个过程_名称:psexec.exe和内部_名称:psexec出动了。这是为了,如果有人重命名该实用程序,我们仍然能够检测到它与测量员的使用。现在,让我们运行勘测员。我们将运行示例中的所有定义文件。python测量员.py--第20天--defdir定义/--前缀11152017处理定义文件:测量员定义/定义/bittorrent.json-->阿祖瑞斯-->雷声-->激流-->数字点火-->BitTorrent公司-->自流处理定义文件:测量员定义/定义/screensaverbypass.json-->咖啡因-->鼠标移动器-->鼠标抖动处理定义文件:测量员定义/定义/嗅探器.json-->Microsoft网络捕获-->tshark公司-->Microsoft网络监视器-->Winpcap公司-->金丝鲨-->TCP泵-->垃圾堆-->风泵处理定义文件:测量员定义/定义/远程-管理员.json-->拉明-->哥多米PC-->PCAnywhere服务器-->女仆-->VNC公司-->罗格明-->TS客户端-->TeamViewer服务-->TeamViewer桌面-->PCAnywhere客户端-->显示我的电脑-->Famatech远程管理-->微软RDP-->Ammyy管理员-->微软TSC现在调查已经完成,在您最喜欢的电子表格实用程序中打开CSV。一个好的开始是在Excel中格式化和创建透视表:选择行作为源(定义文件)和程序(定义文件中的项)后,按程序计数以查看体积。在这个例子中,ddos防御设置参数,第一个感兴趣的项目是使用admin和administrator帐户。现在,您可以单击每个选项卡,Excel将创建一个新选项卡来突出显示该特定数据,然后您可以在其中生成另一个透视表以查看更多详细信息:现在,您可以开始在Excel中寻找有趣的PowerShell行为。有一个定义文件针对的是"关键"进程,或者是最常被滥用的进程。运行时,我的环境中的输出是:从pivot表钻到PowerShell中,现在可以将注意力集中在要查看的内容上。如您所见,有很多可疑的PowerShell使用情况。尽管所有这些都是基本的,但离识别环境中的威胁又近了一步。正如我在网络研讨会上所说的,我们的检测程序一开始是非常特别的。我们使用电子表格、炭黑观察列表和提要来帮助我们调整观察列表并生成可靠的查询提要,我们将在下一个技术中探讨这些。深入挖掘:观看炭黑的"大规模威胁狩猎"网络研讨会技巧2:管理监视列表和提要推荐工具:查询提要生成器、Forager现在我们已经建立了一个组织的基线,我们将重点创建一个中央web服务器来托管我们的内部提要,并使用额外的Red Canary实用程序来帮助搜索或检测威胁。我运行的环境有三个炭黑响应集群,管理着全球70000个端点。我们发现,我们可以构建一个feed服务器并在那里托管所有feed,而不是按单个集群管理我们的所有监视列表或提要。为了更进一步,我们希望能够以一种易于查看的方式调整监视列表并快速更新它们。查询馈送生成器就是为了这个原因。正如在网络研讨会上概述的那样,您可以在CSV文件中管理所有的监视列表,以适当的CBR-json格式生成它,并发布到所有CB服务器。查询馈送生成器说明:1: 从克隆回购开始:git克隆https://github.com/carbonblack/community.git查看CSV文件的格式。在这个CSV中,您可以存放将生成到查询提要中的所有或部分监视列表:2: 将目录更改为/cb/alliance_feed_examples/query_feed_generator3: 将所有监视列表添加到此CSV文件。就这样!当您继续筛选警报时,现在可以在一个位置调整监视列表。将嘈杂的监视列表(新的CSV)与高保真的监视列表分开是很有帮助的。随着时间的推移,这将提供足够的机会来调整并继续生成更高保真度的内容。一旦添加了所有数据,现在就可以生成提要了。你的feed输出将是:现在您可以:将文件移动到集群,并将其作为新的源附加到本地(在文件系统上)建立一个中心位置来托管和存放所有供Cb Response使用的feed企业解决方案对于长期使用更有效,但简单的HTTP服务器可以简单到:python-msimplehttpserver 8080只要Cb集群可以访问IP/主机名和端口,就可以将该提要连接到Cb响应服务器。之后,您只需要更新CSV并重新生成提要。在提要上执行增量同步,您将是最新的。觅食者威胁狩猎也可以根据情报告密。一些英特尔,无论是内部策划还是开源,都会为你提供不同的忠实度。在这种情况下,Forager是一个很好的尝试工具。它的构建是为了能够快速添加和从开源情报源下载,并生成CB提要以附加到炭黑响应中。如果您将所有内部IP/Domains/md5放在一个地方,您甚至可以使用Forager生成该数据的提要。采集说明:1跑觅食者.py--h2通过运行列出内置的OSINT提要觅食者.py--订阅源列表三。要添加其他OSINT源,请更新以下文件:https://github.com/opensourcesec/Forager/blob/master/Forager/feeds.py4选择进纸编号(例如4)。它将生成IOC转储并将其放置在此处:数据/英特尔/MDL\U ioc现在我们有一个文件,每行都有一个潜在的邪恶域。5在Forager中生成饲料同样简单:觅食者.py--cbgen全部现在,feed已经生成,可以在cb/json_feeds/MDL中找到:够简单的!将生成一个feed并将其附加到Cb响应服务器。技巧3:使用redcanary实用程序提取数据推荐工具:时间线、网络工具作为一个响应者,有一个你已经测试并理解输出的实用程序的缓存是很重要的。对于下一个示例,centoscc防御,redcanary有一个实用程序库,可以帮助直接从Cb响应提取遥测数据。它们允许我们根据主机、用户名或简单的直觉来寻找有趣的东西。下载此存储库以进行后续操作。时间轴说明:时间轴是我们武器库中非常强大的工具。如果您希望在法律/人力资源调查期间找出可疑行为或提供帮助,这是您的首选工具。首先,我们将从时间线.py. Timeline将提取一段时间内的所有相关数据。具体地说,用户名或端点在24小时内发生的所有事件的时间轴。这使我们能够回答发生了什么和何时发生的问题。我们现在可以以CSV格式获得所有事件的时间轴,并开始构建透视表来识别任何模式。让我们来测试一下。蟒蛇时间线.py--配置文件演示--查询主机名:目标计算机--第2天输出将以CSV格式显示。打开它,你现在可以看到所有的数据以供查看。这个CSV提供了事件类型的快速视图。它分解了每个事件类型,因此有许多列。要尝试的一些标准轴视图:这个视图对于理解什么过程正在执行什么非常有用。现在,您可以深入研究一个有趣的netconn或进程来执行一些不寻常的事情。另一个很好的例子是网络连接。我不是一个优秀的忍者,我相信有很多很好的方法来执行一些有趣的模式识别方法,但这是我的工作:红色只是高亮显示大于3的值。下面是另一个简单的例子:如果提取用户名的数据,则可以按主机名、父进程和命令行进行筛选,以手动检查数据中是否存在可疑活动。接下来,局域网内有ddos攻击防御,我们将深入研究文件修改。如果您想了解文件在文件系统上做了什么并能够随着时间的推移进行跟踪,这是非常好的。网络利用率当您需要为特定主机或JU转储所有网络数据时,ddos攻击-防御,网络实用程序是一个很好的工具