来自 DDOS 2021-02-20 16:04 的文章

阿里云高防_简析_网页游戏防护

阿里云高防_简析_网页游戏防护

在过去的5年里,我已经变得非常接近Splunk。这个产品在过去的几年里已经发展了很多,但是核心架构一直很容易部署和理解。Splunk以其搜索数据的速度、体系结构的可靠性、以及在快速梳理成堆信息的同时启动多个索引器和摄取万亿字节信息的能力而闻名。基本上,ddos攻击防御阀值,Splunk是一个可靠的日志聚合解决方案。对于那些不熟悉它的人,我强烈建议您花时间学习基础知识和高级功能。Q: 还有什么比挥霍更可怕的?A: 喷溅+碳黑响应几年前我开始使用Splunk时,我和我的同事开始在解决方案中操作我们的所有数据源。我们的环境中有大约10种不同的产品,在每个产品的控制台之间切换浪费了太多时间。我们的主要目标之一是限制我们在每种产品上花费的时间,在供应商的语言中获得"一块玻璃"。我们强迫自己做任何事情。这包括所有调查、数据分析和警报。我们的最高价值数据点最终成为我们可以部署到60000个端点的一件事:炭黑响应。在我们程序的初期,ddos现在能防御,我们使用了观察列表和feed命中率,知道长期策略是将原始端点数据放入Splunk并在那里进行检测。随着时间的推移,我们开始检索原始数据,并最终为炭黑反应构建了Splunk应用程序。学会利用炭黑+喷墨为了帮助组织在他们的安全计划中利用这两个非常强大的工具的力量,我一直在与炭黑公司的团队合作,推出一系列教育材料,从最初的设置到先进的技术,详细介绍了具体的操作方法。这篇文章将教你如何:设置和配置炭黑事件转发器把你的数据输入Splunk在日常操作中使用Cb Response/Splunk应用程序要充分利用该系列:观看点播网络研讨会:Splunk中碳黑响应数据的5种方式可以提高您的安全性阅读第2部分:使用CbR和Splunk进行高级数据分析在Twitter上与我分享你的问题和反馈现在不用麻烦了…我们开始吧!如何设置炭黑转运站炭黑开发团队发布了cb事件转发器,以帮助客户从事件总线上检索广播的数据。简单地说,您可以在远程系统上或从Cb主服务器本身运行此程序。事件转发器提供多种方式从事件总线输出广播数据,包括:udp–通过udp套接字发送事件tcp事件通过tcp发送文件–将事件输出到旋转文件s3–放入s3桶中syslog–将事件发送到syslog服务器我建议您根据最适合您的环境来预先确定体系结构。在即将到来的网络研讨会上,我们将更深入地研究架构。我推荐两种选择:使用Splunk时,s3bucket方法是最可靠的(同时使用AWS应用程序连接S3 bucket)。如果您的环境较小(单个Cb服务器或小型2-4个minion集群),另一个不错的选择是将其转储到主Cb服务器上,并使用通用转发器将其转发到Splunk direct。[表id=4/]安装转发器非常简单,防御cc攻击方法,步骤在存储库的"入门"下提供。TL;DR版本:1: 如果CbOpenSource存储库尚未存在,请安装它:cd/等/百胜回购.d卷曲-Ohttps://opensource.carbonblack.com/release/x86_64/CbOpenSource.repo2: 通过YUM安装RPM:yum安装cb事件转发器我应该记录什么?现在您已经安装了事件转发器,您将希望浏览cb事件-转发器.conf在/etc/cb/integrations/event forwarder/中。复制原始(cp cb事件-转发器.confcb事件-forwarder.conf.template)因此,如果有任何问题,您可以让模板随时准备恢复。碳黑可以播报一切!短名单:文件修改网络连接注册表修改进程启动模块负载长名单:.要点{宽度:100%!重要信息;}
.gist文件
.gist数据{最大高度:250px;最大宽度:100%;}
# 入口事件过程# 入口.event.procstart# 入口.event.netconn# 入口事件进程# 入口事件childproc# 入口事件模块加载# 入口事件模块# 入口.event.filemod# 入口.event.regmod# 入口事件篡改# 入口.事件.交叉过程打开# 入口事件远程线程# ingress.event.processblock# 入口。事件。远程监控# 监视列表.hit.process# watchlist.hit.binary# 监视列表.storage.hit.工艺# 监视列表.storage.hit二进制文件# 饲料入口命中.工艺# 饲料入口命中.二进制# 饲料入口命中.主机# feed.storage.hit文件.工艺# feed.storage.hit文件.二进制# feed.query.hit.工艺# feed.query.hit.二进制# alert.watchlist.hit.入口过程# alert.watchlist.hit.入口.二进制# alert.watchlist.hit.入口主机# alert.watchlist.hit.查询.处理# alert.watchlist.hit.查询.二进制# 观察到binaryinfo# 观察到binaryinfo.host# 观察到binaryinfo.group# binarystore.file.added查看原始CB入口事件列表托管❤ 通过GitHub现在,这听起来可能很神奇入口事件.*到Splunk中,但实际上没有足够的modload、registry和文件修改事件的用例。从法律上讲,及时确认谁删除了一个重要文件,或者某个特定的modload是在一个特定的进程执行过程中创建的,这可能是有用的,但根据我的经验,我们发现注册表、modload和文件修改事件几乎没有任何用处。另外,这将节省您的Splunk许可证,我们都知道我们可以使用更多!我的建议是:.要点{宽度:100%!重要信息;}
.gist文件
.gist数据{最大高度:250px;最大宽度:100%;}
# 入口.event.procstart# 入口.event.netconn# ingress.event.processblock# 入口。事件。远程监控# 监视列表.hit.process# watchlist.hit.binary# 监视列表.storage.hit.工艺# 监视列表.storage.hit.二进制# 饲料入口命中.工艺# 饲料入口命中.二进制# 饲料入口命中.主机# feed.storage.hit文件.工艺# feed.storage.hit文件.二进制# feed.query.hit.工艺# feed.query.hit.二进制# alert.watchlist.hit.入口过程# alert.watchlist.hit.入口.二进制# alert.watchlist.hit.入口主机# alert.watchlist.hit.查询.处理# alert.watchlist.hit.查询.二进制# 观察到binaryinfo# 观察到binaryinfo.host# 观察到binaryinfo.group# binarystore.file.added查看原始我为CB事件转发器推荐什么托管❤ 通过GitHub为了澄清我对数据收集的建议,重点主要是接收Splunk中的进程和netconn数据,以及所有feed、watchlist和二进制数据。过程数据提供用户上下文和命令行数据。netconn数据将为我们提供TCP | | UDP、入站|出站、IP地址和访问的域。如果您有一个庞大的Splunk许可证可以用于Cb响应数据,那么可以一次使用几个其他数据点。你马上就会注意到增加的。这是一座金矿!(旁注:每次我提到金矿,高防cdn服务,我都会想起一篇博文:威胁采矿vs威胁狩猎,哪一个剧透警报!-这正是您在第2部分中将要做的。)要完成设置:1: 接收数据如果您想使用我的建议,cf防御cc,您可以复制并粘贴到cb事件的每个部分-转发器.conf:[表id=5/]2: 广播数据最后,需要在cb.确认.T