如何制作社交网站,交互设计主要做什么,给一个学校网站做宣传海报,江苏企业网站建设公司声明#xff1a;
学习视频来自B站UP主 泷羽sec,如涉及侵权马上删除文
章。本文只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,
否则后果自负
蓝队技术基础
1.企业网络架构#xff1a;企业技术和信息团队的管理架构因企业而异。
CIO#xff08;Chief Informa…
声明
学习视频来自B站UP主 泷羽sec,如涉及侵权马上删除文
章。本文只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,
否则后果自负
蓝队技术基础
1.企业网络架构企业技术和信息团队的管理架构因企业而异。
CIOChief Information Officer首席信息官负责企业信息系统。
CTOChief Technology Officer首席技术官负责运营技术
IT管理
中央管理自带设备影子IT员工可能在企业内部搭建的小网络BYOD 中央技术团队
客户服务团队工作站笔记本服务台
基础设施团队网络服务器机群
数据管理团队数据库存储
技术团队通常由项目驱动采购系统和维护建立技术运营团队根据信息技术基础设施库ITIL进行日常操作
安全部门通常由CISOChief Information Security Officer首席信息安全官 领导。向CIO,CTO,CFO财务,CRO在风险官报告。
企业管理技术
信息安全管理成熟度模型ISM3描述了企业安全运行和管理流程
安全职能包含战略战术和运营安全所有方面。由CISO负责管理运营
作为安全团队成员应了解企业文化组织和关键人员以及推动业务成功的关键流程。这对于安全团队的积极形象很有帮助。
典型企业网络分区
企业网络通常 划分为安全区域区域之间控制访问权限.划分安全区可以防御外部和内部攻击。DMZ隔离内部与外部系统
蜜罐引诱分析入侵者
代理对外供有限服务
员工与合作商VPN连接内网
核心网络通常物理分离、冗余
内部网络有线无线VPN
安管区管理日志、告警
模糊的边界
传统网络结构减少越来越多在云中部署基础架构或使用SaaS服务
传统边界越来越模糊
用户从企业工作站登录到云或SaaS服务
-企业经常提供身份凭据同步机制 甚至SSO解决方案
-云服务可能涉 及在本地运行的硬件例如AzureADConnect系统
-数据通过内部和外部服务进行管理例如Oracle数据集成器
-工作负载可以通过Oracle服务总线或戴尔云平台跨混合环境共享
外部攻击面
收集开源情报后绘制网络范围内全部节点关闭无用节点 nmap -Sn subnet/24
重点关注开启 了SSH服务 的未加固设备 识别潜在攻击点 nmap -PS -sV ip-address 测试漏洞入口
大型网络主机和应用程序很容 易缺少补丁或配置存在漏洞 使用漏扫软件 验证漏洞存在(Nessus等) searchsploit service name version searchsploit service name version是在searchsploit工具中按照服务名称和版本号来搜索相关漏洞利用脚本的命令格式。 身份管理 识别Windows典型应用 sudo nmap -PS -sV somesystem.com Microsoft Exchange、Sharepoint、 AD 识别Linux典型应用 OpenSSH、Samba 识别WEB服务 企业应用或边界设备、VolP等 whatweb ht:/://w someweb.org 识别客户端设备通常见于内网或管理员疏漏暴漏终端设备
身份和访问管理
身份以及特权和访问权管理是企业安全的重要方面
基本工作站和服务器维护自己的身份存储
用户账号、服务账号
普通用户不能执行系统级配置管理命令
sudo权限、 以管理员身份运行
目录服务
LDAP轻量级目录访问协议(AD、 OpenLDAP)
域集中管理
集中资源存储、集中管理(组策略)
企业数据存储
随着数据分析学科的兴起 和某些监管的数据留存要求企业需要集中地数据存储技术
大量数据通常 部署为存储区域网络SAN,由高速网络连接多存储设备组成. NAS是另一 种存储方案。他是拥有大量存储的单个设备服务器和工作站通过本地网络访问
企业可使用串行局域网(SoL) 协议使串行数据基于HTTPS传输
企业虚拟化平台VSpheres VCenterProxMox
数据湖
数据湖是保存大量不同形式数据的大型存 储库p结合数据分析可谓企业带来额外价值
Hadoop已经成为企业中常见的数据湖解决方案另种本地解决方 案是DataBricks
基于云的大数据解决方案ClouderaGoogle BigQueryOracle BigDataAmazon EMR
Azure Data Lake StorageAzure HDInsight (基于云的Hadoop)
围绕数据湖有一 个完整的技术生态提供数据摄取管道和数据分析
Hadoop也可 能带有前端安全服务 用于限制对湖中特定 数据的访问。这为攻击者大规模未经授权访问数据以及渗透系统提供了机遇和挑战
攻击者的一个特定目标是Hadoop一个分布式系统基础架构用于大数据处理的YARN服务如果配置错误很容易受到恶意HTTP请求的攻击从而获得系统命令行shell。
企业数据库
SQL数据库: OracleSQL、MicrosotSQL、MySQL
设备中的嵌入式SQL: MariaDB、Postgresql. SQLite
非SQL 数据库: Mongo-DB、Redis. Azure CosmosDB、AWS DynamoDB传统存储形式 共享驱动器通过SMB协议访问 smbclient -L server U user Windows默认共享 C$ (所有驱动器默认共享) ADMIN$ (管理共享) IPC$ (管道:用于与其他计算机互操作的特殊连接器) smbclient \\\\someserver\\test -U usersmb:\ get Fritz.doc SOC管理流程 SOC ISMS
ISMS: Information security management system
SOC只是企业信息安全计划的一部分了解其如何适应ISMS十分重要
ISO27001标准: 适用于审计和认证的基于控制方法
NIST网络安全框架: 注重预防和应对网络攻击
五个阶段:识别、保护、检测、响应、恢复
以上标准指导如何建立运营安全程序但都没有具体提出建立SOC的要求因此每个企业安全运营的组织方法都不尽相同。
戴明环 是其早期表现:计划、做、检查和行动(PDCA)
SABSA框架改进为战略规划、设计、实施、管理测量的生命周期
从渗透测试的角度掌握SOC的日常操作活动是为了避免被发现从防御者的角度 掌握SOC完整的生命周期视图以确保存其有效性. SOC的目标是通过监 控和事件响应为基础设施和操作提供安全保障。
L1:提供监视告警、分类和解决小问题
L2:提供对日常事件的分析、遏制和解决
L3:负责损失控制、深入调查和取证分析等IR事件
L4:安全管理负责日常、非事件相关的程序。如开设帐户、访问授权审查、定期安全报告和其他主动安全程序
网络杀伤链
洛克希德马丁公司的网络杀伤链模型描述了网络攻击的七个阶段 侦察Reconnaissance指攻击者对目标进行信息收集和探测的阶段旨在了解目标的网络架构、系统配置、潜在漏洞以及用户活动等相关情况为后续攻击做准备。
武器化Weaponization攻击者根据侦察所获取的信息将恶意软件或攻击工具进行定制、包装使其能够利用目标系统的特定漏洞将其转化为具有攻击性的 “武器”。
投送Delivery把经过武器化处理的恶意软件或攻击工具投送到目标系统或网络中常见的投送方式包括通过电子邮件附件、恶意链接、受感染的移动存储设备等。
利用Exploitation一旦投送成功恶意软件便会利用目标系统存在的漏洞来触发并执行恶意代码从而获取对目标系统的初步访问权限或控制权。
安装Installation在成功利用漏洞进入目标系统后攻击者会进一步在目标系统内安装额外的恶意软件组件如后门程序、远程控制工具等以便长期、稳定地控制目标系统。
指挥与控制CommandControl安装在目标系统内的恶意软件会与攻击者所控制的外部服务器建立连接使得攻击者能够远程对目标系统下达指令、获取数据以及进行进一步的操控。
行动Action这是网络攻击的最后阶段攻击者通过已经建立的指挥与控制通道在目标系统上执行其预期的恶意活动如窃取敏感信息、篡改数据、发起拒绝服务攻击等从而达成其攻击目的。日志收集
收集关键日志来源
代理服务器、邮件服务器、Web服务器、数据库、身份认证服务器、防火墙、路由器和交换机以及应用程序服务器和工作站
配置日志源生成日志并转发给收集器进而上传到SIEM
Windows 事件日志收集和转发
Linux 系统使用syslog收集和聚合日志并转发
收集楼宇管理和工控网络日志
这些系统现在通常 连接到企业网络可能称为主要的攻击目标
日志搜索分析 Splunk提供日志收集、存储、搜索、分析和可视化功能 SIEM关联日志与活动识别可疑内容。Splunk也作为SIEM解决方案 监控告警
告警可以来自SIEM,但也可以直接来自安装在系统和网络中的传感器实时告 警系统如IDS设备
事后告警系统如AIDE攻击(监视系统文件的修改)
在某些情况下 事件不会从日志或警报中触发
攻击者更改了用户密码用户联系管理员通告
事件响应
L2级分析师收到1级的工单时分析评估后进行事项响应流程
数字取证分析是网络安全的一一个专门领域
由3级分析师处理针对内存硬盘以合法方式取证保护完整性
Cyber Hunting
网络狩猎是SOC3级分析师的一门新兴学科它假设网络已被渗透,通过主动寻 找恶意软件(或入侵者) 争取在攻击造成损失之前发现
寻找一系列指标还原网络攻击时间线
网络威胁猎人的一个关键资源是MITRE ATTCK框架它提供攻击者行为方式及其使用工具的信息帮助发现攻击痕迹
网络威胁搜寻需要非常了解正常状态并能够识别入侵和异常活动
威胁情报
妥协指标 (oC)是用于识别恶意软件或恶意活动的签名。通常以文件名和哈希值的形式提供
考虑到新威胁信息的规模手动获取和记录威胁情报不再可行。自动化威胁管理方面MITRE开发了结构化威胁信息表达(STIX) 和可信智能信息自动交换(TAXII)协议以实现威胁信息的自动提供和摄取
STIX/TAXII旨 在允许自动获得威胁情报并将其输入IDS、SIEM等工具 后者使用这些信息直接扫描传入的流量或文件。从而实现威胁情报的近乎实时更新以确保击败已知威胁
另一个开放威胁交换服务 之一是AlienVault OTX.在AlienVault 站点注册并获得OTX密钥后可以手动访问危害指标
安全管理
安全管理是一组确保公司业务安全的日常流程
身份管理: IAM是任何安全程序的基础 和黑客攻击的目标访问控制: 配置和验证用户 访问系统的权限制定审计规则o特权管理: PAM系统使非特权用户能请求特权访问权限提升媒体消毒:生命周期结束敏感数据需要安全清理、销毁
人事安全:人员安全是公认的业务安全程序之-
证书管理:证书过期和泄露将直接摧毁PKI架构
远程访问:后疫情时代远程访问已成为攻击重点
零信任网络
2010年谷歌遭受极光行动网络攻击之后改变了内网络管理方式。创造了零信任~一词以描述-种始终假设内部网络 已被破坏的运行方式
访问之前始终对 身份和授权进行积极验证。这种方法在NIST特别出版物800-207:零信任架构中正式确定现在所有US政府机构都强制实施零信任
零信任架构假设外部边界随时可能被突破因此在被证明是良性的之前任何访问请求都应被视为敌对的。它有四个关键特征:
即时访问 (JITA)
只需足够的访问权限(JEA)
动态访问策略
微观分割
安全和基础设施
数据备份/恢复是重要的运营技术在发生灾难或攻击事件时备份数据是一项关键的安全资产
变更管理
安全需要与系统的变化过程密切相关
确保在提交变更之前已经正确评估了风险
变更管理计划包含推出计划、回滚计划、影响评估和依赖关系清单
管理物理环境
管理数据中心环境涉及物理和电子安全它包括物理访问、机房环境(功率、温度、气压等)
事件响应
事件管理生命周期
安全事件响应可视为一组缓解控制通过检测和阻断攻击途径以减少攻击造成的损失
CREST事件管理模型
准备:了解系统及现有控制通过培训和演练使组织为事故做好准备。响应:识别、调查、采取行动响应事件及业务服务的恢复
后续:事后进一步调查、形成报告、总结经验教训改进流程 SABSA多层控制策略。威慑 预防 遏制 检测和通知恢复 管理事件响应
事件响应方法NIST特别出版物800-61:计算机安全事件处理指南。检测和分析
遏制
根除和恢复
事件后活动
注重政策和程序以及信息共享
PDCA的事件响应生命周期
应急响应准备
风险评估:了解技术资产、系统和数据井了解它们对业务的重要性
威胁分析: 策略、技术和实践确定风险点反向推动控制到位
人员、流程和技术:建立团队、配备工具、制定流程剧本演练
控制:响应手册事前流程规避、事中数据支持、事后备份恢复
成熟度评估: CREST提供成熟度评估工具这是个持续的过程流程培训实践技能培训
一、应急响应手册概述
该手册详细规定了在不同安全事件发生时应执行的标准操作程序按安全事件类别进行了分类阐述。二、各安全事件类别及相关情况 一PB01 扫描
PB01.1 IP 地址扫描涉及对 IP 地址进行扫描相关的应急处理操作。 PB01.2 端口扫描针对端口扫描情况制定的应急操作流程。 二PB02 托管威胁
PB02.1 病毒隔离当检测到病毒时采取隔离措施的操作规范。 PB02.2 检测到登录尝试失败针对登录尝试失败情况的应急响应步骤。 PB02.3 检测到已知漏洞在发现已知漏洞时应执行的操作程序。 三PB03 入侵
PB03.1 检测到入侵指示明确在检测到有入侵迹象时的应对操作。 PB03.2 非特权帐户泄露针对非特权帐户泄露事件的处理流程。 PB03.3 未经授权的权限提升对于出现未经授权提升权限情况的应急措施。 PB03.4 恶意员工活动处理员工从事恶意活动的相关操作规范。 PB03.5 管理帐户泄露在管理帐户泄露时应采取的行动步骤。 四PB04 可用性
PB04.1 拒绝服务 (DOS/DDOS)应对拒绝服务攻击包括 DOS 和 DDOS的操作流程。 PB04.2 破坏针对系统等被破坏情况的应急处理程序。 五PB05 信息
PB05.1 未经授权访问信息处理未经授权访问信息事件的操作规范。 PB05.2 未经授权修改信息在发现未经授权修改信息时应执行的步骤。 PB05.3 数据泄露针对数据泄露情况制定的应急措施。 六PB06 欺诈
PB06.1 未经授权使用资源对于未经授权使用资源这类欺诈行为的处理流程。 PB06.2 侵犯版权处理侵犯版权欺诈事件的操作规范。 PB06.2 欺骗身份应对欺骗身份欺诈情况的应急措施。 七PB07 恶意内容
PB07.1 网络钓鱼电子邮件处理网络钓鱼电子邮件的操作步骤。 PB07.2 恶意网站针对恶意网站的应急处理程序。 PB07.3 受感染的 U 盘在遇到受感染的 U 盘时应采取的行动。 八PB08 恶意软件检测
PB08.1 病毒或蠕虫针对检测到病毒或蠕虫时的应急操作流程。 PB08.2 勒索软件处理勒索软件的相关操作规范。 PB08.3 APT应对高级持续性威胁APT的应急措施。 九PB09 技术诚信
PB09.1 网站污损处理网站污损情况的应急操作流程。 PB09.2 DNS 重定向针对 DNS 重定向情况制定的应急措施。 十PB10 盗窃
PB10.1 盗窃资产在发生资产盗窃事件时应采取的行动步骤。
这份手册通过对各类安全事件的详细分类及对应应急操作的明确为应对不同的网络安全问题提供了较为全面的指导规范。
演练与沟通
锻炼团队应响能力验证应响计划的有效性
红蓝对抗模拟真实攻击场景
总结经验、发现问题、改进计划
应响过程中及时充分准确的信息沟通至关重要
沟通对象涉及内部员工、外部合作伙伴、客户、媒体、政府等
事件检测与响应
安全事件的发生。事件上报
系统监控与检查日志告警
确定事件级别
检测是否存在入侵
调查事件
采取遏制措施
溯源取证
报告与总结
编写应急响应件报告
标题、编号
I件归类级别
受影响的系统、账号登。事件详细过程
还原事件时间线进一步调查计划
经验总结与改进建议
入侵检测与防御
Snort被许多组织用来检测和阻止网络威胁。。网络安全专业人员应理解和有能力修改其规则。可配置为IDS或IPS,根据规则做出反应
Fortinet防火墙等设备支持导入Snort规则
流量分析是 发现网络攻击的重要手段
发现恶意流量被动告警和主动阻止攻击。IDS采用带外监视的部署方式
入侵防御系统(IPS)
串联部署具有主动阻止威胁的能力
适合需要更快响应的场景
安装依赖包
安装DAQ数据采集库
安装内存分配器
●安装配置Snort3
安装、自定义规则
对发往SHOME NET系统或子网中IP地址的任何流量发出警报
alert icmp any any- $HOME NET any (msgTest Ping Event: sid:1000001rev:1; classtype:icmp-event)
一、文件管理概述 在涉及网络安全监控工具如 Snort的文件管理中有一系列重要的字段用于定义规则这些规则能够帮助准确地检测和处理网络中的各类活动并以特定方式进行告警等操作。 二、各字段详细描述 一alert 含义该字段明确告诉 Snort 此规则是一个告警规则。当网络流量符合此规则所设定的条件时Snort 会发出相应的告警信息以便管理员及时知晓可能存在的异常活动。 示例用法在规则配置文件中如 alert icmp any any - $HOME_NET any (msgTest Ping Event: sid:1000001rev:1; classtype:icmp-event) “alert” 开头就表明这是一个用于产生告警的规则。
二icmp 含义用于指定要标记活动的流量类型。除了 ICMPInternet Control Message Protocol互联网控制报文协议之外还可以是 TCPTransmission Control Protocol传输控制协议、UDPUser Datagram Protocol用户数据报协议等其他常见的网络协议。通过指定具体的协议类型能够精准地针对特定协议的流量进行监控和规则应用。 示例用法在规则 alert icmp any any - $HOME_NET any (msgTest Ping Event: sid:1000001rev:1; classtype:icmp-event) 中“icmp” 明确了此规则是针对 ICMP 协议的流量进行相关操作。
三any 作为源 IP 地址或 CIDR 指定当用于指定源 IP 地址或 CIDC无类别域间路由Classless Inter-Domain Routing时“any” 表示任何地址。这意味着规则将对来自任何源 IP 地址的流量进行检测不局限于特定的 IP 范围从而实现对广泛来源的流量监控。 示例用法在规则 alert icmp any any - $HOME_NET any (msgTest Ping Event: sid:1000001rev:1; classtype:icmp-event) 中第一个 “any” 就是指定源 IP 地址为任何地址。 作为源端口指定同样“any” 还可用于指定要检测的源端口即表示对任何源端口的流量进行关注。这种宽泛的指定方式有助于全面捕捉可能存在问题的流量情况不过在某些特定需求下也可以根据实际情况将其替换为具体的端口号以实现更精准的监控。 示例用法还是上述规则中的第二个 “any”这里就是指定要检测的源端口为任何端口。
四 方向运算符 含义方向运算符 “” 用于指定流量方向。它标识 IP 和端口同时作为来源和目的明确了流量是从哪里来以及要到哪里去的路径关系。通过这种方式可以准确地界定规则所适用的流量流向情况以便更精准地检测符合特定流向要求的流量活动。 示例用法在规则 alert icmp any any - $HOME_NET any (msgTest Ping Event: sid:1000001rev:1; classtype:icmp-event) 中“-” 就是方向运算符表明流量是从由前面 “any any” 所指定的源任何源 IP 地址和任何源端口流向由 “$HOME_NET any” 所指定的目标配置文件中指定的本地网络的任何目标 IP 地址和任何目标端口。
五$HOME_NET 含义在 Snort 的配置文件中指定的本地网络。它可以通过具体的 IP 地址范围来表示通常采用 CIDR 格式如 192.168.0.0/16。此外也可以使用多个 CIDR 来更精准地界定本地网络的范围以便根据实际需求对本地网络内的流量进行全面且精准的监控。 示例用法在规则 alert icmp any any - $HOME_NET any (msgTest Ping Event: sid:1000001rev:1; classtype:icmp-event) 中“$HOME_NET” 就是指代在配置文件中已经定义好的本地网络范围具体值需根据配置文件的设置来确定。
六any指定要检测的目标端口 含义用于指定要检测的目标端口同样表示任何端口。这使得规则能够对流向本地网络由 “$HOME_NET” 指定的任何目标端口的流量进行检测与前面指定源端口的 “any” 配合实现对流量在端口层面的全面监控。 示例用法在规则 alert icmp any any - $HOME_NET any (msgTest Ping Event: sid:1000001rev:1; classtype:icmp-event) 中最后一个 “any” 就是指定要检测的目标端口为任何端口。
七msg 含义报警名字段。用于给当网络流量符合规则时所发出的告警赋予一个特定的名称以便管理员在查看告警信息时能够快速识别告警的大致内容和相关活动类型。这个名称应该具有一定的描述性能够直观地反映出告警所对应的网络活动情况。 示例用法在规则 alert icmp any any - $HOME_NET any (msgTest Ping Event: sid:1000001rev:1; classtype:icmp-event) 中“msgTest Ping Event: sid:1000001rev:1; classtype:icmp-event)” 里的 “Test Ping Event” 就是报警名字段所设定的具体名称用于标识此次告警与测试 Ping 事件相关。
八sid 含义签名 ID 字段。它用于给每个规则赋予一个唯一的标识编号取值范围通常有一定要求一般来说自定义报警必须大于等于 100000 且唯一。这个编号在 Snort 的规则管理和识别中起着重要作用便于对不同规则进行区分、查询和管理。 示例用法在规则 alert icmp any any - $HOME_NET any (msgTest Ping Event: sid:1000001rev:1; classtype:icmp-event) 中“sid:1000001” 就是指定的签名 ID 字段的值表明此规则的签名 ID 为 1000001。
九rev 含义规则更新时作为版本号跟踪。当对规则进行修改、完善或更新等操作时可以通过更新 “rev” 字段的值来记录规则的版本变化情况以便在后续的规则管理和维护中能够清楚地了解到每条规则的演进历程对于排查问题、分析规则效果等方面都具有重要意义。 示例用法在规则 alert icmp any any - $HOME_NET any (msgTest Ping Event: sid:1000001rev:1; classtype:icmp-event) 中“rev:1” 就是指定的规则更新时的版本号表明此规则当前的版本为 1。
十classtype 含义Snort 有一个默认类型列表可以帮助分类告警便于搜索特定类型的活动。通过将规则的告警归类到不同的类型中能够更高效地对大量告警信息进行筛选、分析和处理使得管理员可以根据特定类型的活动快速定位和处理相关告警提高网络安全监控和管理的效率。 示例用法在规则 alert icmp any any - $HOME_NET any (msgTest Ping Event: sid:1000001rev:1; classtype:icmp-event) 中“classtype:icmp-event” 就是指定将此次告警归类到 “icmp-event” 这种类型中以便后续根据该类型进行相关操作。 通过对这些字段的准确理解和合理运用能够在 Snort 等网络安全监控工具的文件管理中更加精准地定义规则实现对网络活动的有效监控和管理。
一、本地账号与 Snort 条件子句概述 在网络安全监控领域特别是涉及到本地账号相关活动的监控时Snort 作为一款常用的网络入侵检测系统NIDS可通过设置特定的条件子句来检测各种异常情况。当满足或不满足这些设定的条件时相应的触发子句就会被执行从而实现对潜在安全威胁的告警或其他处理操作。二、具体 Snort 条件子句示例及解释 一检查失败的 telnet 登录尝试 规则语句alert tcp $HOME_NET 23 - any any (msg:Failed login attempt; content:Login incorrect; sid:1000002; rev:1; classtype:attempted-user;) 详细解释 协议及源目标设定 alert tcp表明这是一个针对 TCP 协议的告警规则。Snort 会对符合后续条件的 TCP 协议流量进行监测并在满足条件时发出告警。 $HOME_NET 23这里指定了源网络$HOME_NET 通常是在 Snort 配置文件中定义好的本地网络范围如以 CIDR 格式表示的某个 IP 地址段23 是 Telnet 服务所使用的端口号。这表示规则关注的是从本地网络的 Telnet 端口发出的流量。 - any any方向运算符表明流量是从前面指定的源本地网络的 Telnet 端口流向任何目标 IP 地址和任何目标端口。 告警信息及分类相关 msg:Failed login attemptmsg 字段用于设置告警名字在此处将告警命名为 “Failed login attempt”以便管理员在查看告警信息时能快速了解到该告警与 Telnet 登录失败尝试相关。 content:Login incorrectcontent 字段用于指定在监测的流量中要查找的特定内容。在这里当 Snort 在 TCP 流量中检测到包含 “Login incorrect” 这个字符串时就会认为可能发生了 Telnet 登录失败的情况。 sid:1000002sid 是签名 ID 字段给这条规则赋予了一个唯一的标识编号 1000002。按照规定自定义报警的sid 值通常要大于等于 100000 且唯一方便在众多规则中对该规则进行区分和管理。 rev:1rev 字段在规则更新时作为版本号跟踪。这里设置为 1表示该规则当前的版本是 1当后续对该规则进行修改等操作时可以更新这个版本号来记录规则的演进历程。 classtype:attempted-user;classttype 字段利用 Snort 的默认类型列表对告警进行分类将此次告警归类到 “attempted-user” 类型中便于后续搜索特定类型的活动比如管理员可以通过查找 “attempted-user” 类型的告警来集中查看所有与用户登录尝试相关的情况。
三、外部规则集 相关网址 https://www.proofpoint.com/us这是一个可能提供与网络安全相关规则或其他资源的网址也许可以从这里获取到一些补充的规则内容、安全建议等信息用于进一步完善对网络活动的监控和安全防护。 https://rules.emergingthreats.netopen/同样是一个与网络安全规则相关的网址可能提供各种新兴威胁相关的规则集通过参考这些外部规则集可以拓宽 Snort 的检测范围使其能够应对更多种类的潜在安全威胁。
四、In Line 部署及阻断操作 In Line 部署这种部署方式使得 Snort 能够直接介入到网络流量的传输路径中而不仅仅是在一旁监测。通过 In Line 部署Snort 可以实现对网络流量的实时处理在检测到异常情况时能够立即采取相应的措施而不是仅仅发出告警。 阻断操作相关 D drop这是一种阻断方式当 Snort 检测到符合某些特定条件比如满足某条设定的阻断规则的流量时会直接丢弃drop该流量使其无法继续在网络中传输从而有效地阻止了可能的恶意活动通过该流量进行传播。 sdrop类似于D drop也是一种用于阻断流量的操作方式具体细节可能因不同的实现环境或规则设置而有所差异但总体目的也是阻止特定流量在网络中的传播。 reject这种方式不仅会阻断拒绝特定流量的传输还会向发送该流量的源端发送一个拒绝响应告知源端其发送的流量被拒绝了。这样做一方面可以阻止恶意流量另一方面也能让源端知道其发送的内容存在问题在某些场景下可能更有利于维护网络的正常秩序和提示用户进行相应的修正。 通过综合运用 Snort 的条件子句设置、参考外部规则集以及采用合适的部署方式和阻断操作可以更全面、有效地对本地账号相关活动以及其他网络活动进行监控和安全防护。
企业网络架构相关 CIOChief Information Officer首席信息官 CTOChief Technology Officer首席技术官 CISOChief Information Security Officer首席信息安全官 CFOChief Financial Officer首席财务官 CROChief Risk Officer首席风险官 BYODBring Your Own Device自带设备 ITILInformation Technology Infrastructure Library信息技术基础设施库 DMZDemilitarized Zone非军事区 VPNVirtual Private Network虚拟专用网络 SOCSecurity Operations Center安全运营中心 ISMSInformation Security Management System信息安全管理体系 ISM3Information Security Management Maturity Model信息安全管理成熟度模型 LDAPLightweight Directory Access Protocol轻量级目录访问协议 ADActive Directory活动目录 SANStorage Area Network存储区域网络 NASNetwork Attached Storage网络附加存储 SoLSerial over LAN串行局域网协议 VMware威睿一家提供虚拟化和云计算软件及服务的公司 vSphere威睿公司的一款虚拟化平台产品 vCenter威睿公司用于管理 vSphere 环境的软件 Proxmox一种开源的服务器虚拟化管理平台 Hadoop一个分布式系统基础架构用于大数据处理 DataBricks一家提供数据处理和分析平台的公司 Cloudera一家大数据软件公司提供基于 Hadoop 的大数据解决方案等 Google BigQuery谷歌公司的大数据分析服务 Oracle BigData甲骨文公司的大数据相关产品或服务 Amazon EMRElastic MapReduce亚马逊公司的大数据处理服务基于 Hadoop 等开源技术 Azure Data Lake Storage微软 Azure 云平台提供的用于存储大数据的数据湖存储服务 Azure HDInsight微软 Azure 云平台基于 Hadoop 的大数据分析服务 MongoDB一种非关系型数据库NoSQL 数据库 Redis一种开源的内存数据结构存储系统常用于缓存、消息队列等场景也可作为数据库使用属于非 SQL 数据库范畴 Azure CosmosDB微软 Azure 云平台提供的全球分布式数据库服务支持多种数据模型属于非 SQL 数据库 AWS DynamoDB亚马逊网络服务AWS提供的快速、灵活的非关系型数据库服务属于非 SQL 数据库 SQLite一种轻型的嵌入式数据库引擎常用于移动设备、嵌入式系统等场景属于嵌入式 SQL 数据库 MariaDB一个开源的关系型数据库管理系统是 MySQL 的一个分支属于嵌入式 SQL 数据库 PostgreSQL一种强大的开源关系型数据库管理系统属于嵌入式 SQL 数据库 Oracle SQL甲骨文公司的 SQL 数据库产品如 Oracle Database 中的 SQL 相关功能 Microsoft SQL Server微软公司的关系型数据库管理系统属于 SQL 数据库 MySQL一个开源的关系型数据库管理系统广泛应用于各种应用场景属于 SQL 数据库 SMB/CIFSServer Message Block/Common Internet File System服务器消息块 / 通用互联网文件系统是一种网络文件共享协议用于在网络上的计算机之间共享文件、打印机等资源 IPCInter-Process Communication进程间通信 SABSASherwood Applied Business Security Architecture舍伍德应用商业安全架构 CRESTCouncil of Registered Ethical Security Testers注册道德安全测试员委员会一个提供相关安全测试和评估标准、培训等的组织 网络攻击与防御相关 Cyber Hunting网络狩猎 MITRE ATTCKMITRE Adversarial Tactics, Techniques, and Common Knowledge美国麻省理工学院研究机构MITRE开发的一个对抗战术、技术和通用知识框架用于描述网络攻击者的行为方式及其使用的工具等信息帮助安全人员发现攻击痕迹和进行防御规划 IOCIndicator of Compromise妥协指标用于识别恶意软件或恶意活动的特征标记通常以文件名和哈希值等形式呈现 STIXStructured Threat Information Expression结构化威胁信息表达一种用于描述网络威胁情报的标准格式便于不同系统之间共享和处理威胁信息 TAXIITrusted Automated Exchange of Intelligence Information可信智能信息自动交换一种用于在不同组织或系统之间自动交换威胁情报的协议常与 STIX 配合使用实现威胁情报的自动提供和摄取 AlienVault OTXAlienVault Open Threat ExchangeAlienVault 公司提供的开放威胁交换服务允许用户获取和共享网络威胁情报 Snort一款开源的网络入侵检测和防御系统用于实时监控和分析网络流量及时发现并阻止网络威胁 DAQData Acquisition数据采集 IDSIntrusion Detection System入侵检测系统用于监测网络中的入侵行为并发出告警但一般不直接阻断入侵行为 IPSIntrusion Prevention System入侵防御系统不仅能检测入侵行为还能在发现异常时立即采取阻断等防御措施防止入侵行为的发生 AIDEAdvanced Intrusion Detection Environment高级入侵检测环境一种主要用于监视系统文件修改情况的事后告警系统当发现文件被修改时会发出告警信息帮助追溯可能发生的安全事件 其他 PDCAPlan-Do-Check-Act计划、执行、检查、处理一种质量管理方法也常用于信息安全生命周期等的管理过程描述 JITAJust-In-Time Access即时访问零信任网络架构中的一个关键特征指用户或服务在需要时才被授予访问权限且权限具有时效性一旦任务完成或时间过期权限即被收回 LPALeast Privilege Access或 JEAJust Enough Access最小权限访问或刚好足够访问零信任网络架构中的关键特征指用户或服务仅被授予完成特定任务所需的最小权限集以减少潜在的安全风险 文章转载自: http://www.morning.zdydj.cn.gov.cn.zdydj.cn http://www.morning.drndl.cn.gov.cn.drndl.cn http://www.morning.fxjnn.cn.gov.cn.fxjnn.cn http://www.morning.yrbq.cn.gov.cn.yrbq.cn http://www.morning.wjzzh.cn.gov.cn.wjzzh.cn http://www.morning.rryny.cn.gov.cn.rryny.cn http://www.morning.hxsdh.cn.gov.cn.hxsdh.cn http://www.morning.tgtsg.cn.gov.cn.tgtsg.cn http://www.morning.slnz.cn.gov.cn.slnz.cn http://www.morning.dqxph.cn.gov.cn.dqxph.cn http://www.morning.jikuxy.com.gov.cn.jikuxy.com http://www.morning.pdbgm.cn.gov.cn.pdbgm.cn http://www.morning.mkzdp.cn.gov.cn.mkzdp.cn http://www.morning.gbljq.cn.gov.cn.gbljq.cn http://www.morning.dschz.cn.gov.cn.dschz.cn http://www.morning.lpmdy.cn.gov.cn.lpmdy.cn http://www.morning.nnwmd.cn.gov.cn.nnwmd.cn http://www.morning.gwgjl.cn.gov.cn.gwgjl.cn http://www.morning.ntgsg.cn.gov.cn.ntgsg.cn http://www.morning.qjbxt.cn.gov.cn.qjbxt.cn http://www.morning.qgdsd.cn.gov.cn.qgdsd.cn http://www.morning.rzrbw.cn.gov.cn.rzrbw.cn http://www.morning.pwgzh.cn.gov.cn.pwgzh.cn http://www.morning.qhkdt.cn.gov.cn.qhkdt.cn http://www.morning.qqhmg.cn.gov.cn.qqhmg.cn http://www.morning.gwmny.cn.gov.cn.gwmny.cn http://www.morning.wwznd.cn.gov.cn.wwznd.cn http://www.morning.nnjq.cn.gov.cn.nnjq.cn http://www.morning.ksqyj.cn.gov.cn.ksqyj.cn http://www.morning.flmxl.cn.gov.cn.flmxl.cn http://www.morning.ljzgf.cn.gov.cn.ljzgf.cn http://www.morning.tntbs.cn.gov.cn.tntbs.cn http://www.morning.zympx.cn.gov.cn.zympx.cn http://www.morning.nfpgc.cn.gov.cn.nfpgc.cn http://www.morning.jfch.cn.gov.cn.jfch.cn http://www.morning.kpxnz.cn.gov.cn.kpxnz.cn http://www.morning.rkzk.cn.gov.cn.rkzk.cn http://www.morning.rqfkh.cn.gov.cn.rqfkh.cn http://www.morning.npfkw.cn.gov.cn.npfkw.cn http://www.morning.qwqzk.cn.gov.cn.qwqzk.cn http://www.morning.jtmrx.cn.gov.cn.jtmrx.cn http://www.morning.gynls.cn.gov.cn.gynls.cn http://www.morning.cgbgc.cn.gov.cn.cgbgc.cn http://www.morning.bzqnp.cn.gov.cn.bzqnp.cn http://www.morning.jxpwr.cn.gov.cn.jxpwr.cn http://www.morning.nhrkc.cn.gov.cn.nhrkc.cn http://www.morning.sjzsjsm.com.gov.cn.sjzsjsm.com http://www.morning.rcrfz.cn.gov.cn.rcrfz.cn http://www.morning.bnpn.cn.gov.cn.bnpn.cn http://www.morning.cypln.cn.gov.cn.cypln.cn http://www.morning.hrtct.cn.gov.cn.hrtct.cn http://www.morning.bdypl.cn.gov.cn.bdypl.cn http://www.morning.zlxrg.cn.gov.cn.zlxrg.cn http://www.morning.zpkfb.cn.gov.cn.zpkfb.cn http://www.morning.rczrq.cn.gov.cn.rczrq.cn http://www.morning.jrksk.cn.gov.cn.jrksk.cn http://www.morning.mdmqg.cn.gov.cn.mdmqg.cn http://www.morning.mrckk.cn.gov.cn.mrckk.cn http://www.morning.wjtwn.cn.gov.cn.wjtwn.cn http://www.morning.kzpxc.cn.gov.cn.kzpxc.cn http://www.morning.fhqdb.cn.gov.cn.fhqdb.cn http://www.morning.rbktw.cn.gov.cn.rbktw.cn http://www.morning.jpnw.cn.gov.cn.jpnw.cn http://www.morning.dwncg.cn.gov.cn.dwncg.cn http://www.morning.tfznk.cn.gov.cn.tfznk.cn http://www.morning.cnhgc.cn.gov.cn.cnhgc.cn http://www.morning.jntcr.cn.gov.cn.jntcr.cn http://www.morning.aishuxue.com.cn.gov.cn.aishuxue.com.cn http://www.morning.dbjyb.cn.gov.cn.dbjyb.cn http://www.morning.qmkyp.cn.gov.cn.qmkyp.cn http://www.morning.tmbfz.cn.gov.cn.tmbfz.cn http://www.morning.ltpph.cn.gov.cn.ltpph.cn http://www.morning.nzsdr.cn.gov.cn.nzsdr.cn http://www.morning.zhiheliuxue.com.gov.cn.zhiheliuxue.com http://www.morning.fmdvbsa.cn.gov.cn.fmdvbsa.cn http://www.morning.nwynx.cn.gov.cn.nwynx.cn http://www.morning.lwtfr.cn.gov.cn.lwtfr.cn http://www.morning.tfrlj.cn.gov.cn.tfrlj.cn http://www.morning.fzlk.cn.gov.cn.fzlk.cn http://www.morning.znmwb.cn.gov.cn.znmwb.cn
