安全響應(yīng)的自動(dòng)化運(yùn)營(yíng)解決方案

1、安全響應(yīng)的自動(dòng)化運(yùn)營(yíng)解決方案技術(shù)創(chuàng)新，變革未來安全響應(yīng)的現(xiàn)狀和挑戰(zhàn)123456目錄安全響應(yīng)的支撐平臺(tái)建設(shè)安全響應(yīng)需要的數(shù)據(jù)和威脅情報(bào)的作用安全響應(yīng)“必修課”終端檢測(cè)響應(yīng)/EDR主要工具集安全響應(yīng)的playbook某次內(nèi)網(wǎng)紅藍(lán)對(duì)抗暴露的問題單一的EPP解決方案存在檢測(cè)盲點(diǎn)1、安全響應(yīng)的現(xiàn)狀和挑戰(zhàn)沒有完美的防護(hù) 入侵事件始終存在多維度的檢測(cè) 縱深的分析研判完善豐富的響應(yīng)流程不斷降低的MTTR持續(xù)循環(huán)迭代 形成閉環(huán)紅藍(lán)對(duì)抗引發(fā)的思考1、安全響應(yīng)的現(xiàn)狀和挑戰(zhàn)（續(xù)）安全響應(yīng)的現(xiàn)狀和挑戰(zhàn)123456目錄安全響應(yīng)的支撐平臺(tái)建設(shè)安全響應(yīng)“必修課”終端檢測(cè)響應(yīng)/EDR主要工具集安全響應(yīng)的playbook安全響應(yīng)

2、需要的數(shù)據(jù)和威脅情報(bào)的作用安全響應(yīng)依賴的基礎(chǔ)數(shù)據(jù)與Kill-Chain各階段對(duì)應(yīng)ReconnaissanceWeaponizationDeliveryExploitationInstallationCommand &ControlAction &Objective流量IPS、IDS告警應(yīng)用認(rèn)證日志郵件網(wǎng)關(guān)（如特定擴(kuò) 展名命中）Sandbox告警PC的終端安全（含HIPS等）告警互聯(lián)網(wǎng)訪問網(wǎng)關(guān)的威 脅告警NGFW告警，WAF告警墻后的南北向流量監(jiān)控HIPS/HIDS告警漏洞信息主機(jī)OS日志和 Sysmon/Osquery等實(shí) 現(xiàn)的增強(qiáng)日志HTTP訪問，應(yīng)用（如登 錄、訪問），郵件，AD 日志等入

3、站FW日志或者入站流量監(jiān)控日志東西向流量服務(wù)器上盡可能多的 DNS日志監(jiān)控信息，如進(jìn)程 出站流量中的域名或IPhash和行為訪問，證書HTTP訪問日志、完整 出站FW日志 請(qǐng)求payload和響應(yīng)payload的前150字節(jié)服務(wù)器上盡可能多的 監(jiān)控信息，如進(jìn)程 hash和行為是不是被搞了？誰搞的我？我被搞的多慘？如何被搞的？我被盯上了？2、安全響應(yīng)需要的數(shù)據(jù)和威脅情報(bào)的作用Kill-Chain各階段常用到的威脅情報(bào)數(shù)據(jù)應(yīng)急響應(yīng)與安全分析的催化劑ReconnaissanceWeaponizationDeliveryExploitationInstallationCommand &ControlA

4、ction &Objective收件人郵件地址算法郵件名特征特定特定事件的CVE、主機(jī)特征：Mutex、 域名、URL、歷史解析目標(biāo)數(shù)據(jù)目標(biāo)國(guó)家密鑰郵件正文特征0-day寫入的注冊(cè)表項(xiàng)、文IP、WHOIS打包方法目標(biāo)行業(yè)特定互斥量目標(biāo)郵件和地址通用payload特征件名或路徑等 SSL 證 書傳輸方法目標(biāo)個(gè)體執(zhí)行流程惡意代碼進(jìn)入方式Y(jié)ara rule 域名注冊(cè)信息破壞功能掃描特征加解密方式魚叉郵件特定主機(jī)監(jiān)控程序， 域名使用偏好特定功能模塊水坑攻擊如Sysmon/Osquery 域名命名偏好對(duì)抗分析措施U盤規(guī)則集IP、IP反查域名、歷史源碼工程路徑主動(dòng)滲透Webshell特征域名解析、RDNS

5、特定數(shù)據(jù)字串初始啟動(dòng)路徑IP所在ASN、地址位置語言編譯環(huán)境持續(xù)啟動(dòng)方式域名或IP信譽(yù)評(píng)級(jí)、標(biāo)特定數(shù)字簽名偽裝正常模式簽、關(guān)聯(lián)事件和關(guān)聯(lián)通組件組織架構(gòu)信樣本特別的錯(cuò)誤通信協(xié)議后門工具工具類型工具配置認(rèn)證憑據(jù)是不是被搞了？誰搞的我？我被搞的多慘？如何被搞的？我被盯上了？2、安全響應(yīng)需要的數(shù)據(jù)和威脅情報(bào)的作用安全響應(yīng)的現(xiàn)狀和挑戰(zhàn)123456目錄安全響應(yīng)“必修課”終端檢測(cè)響應(yīng)/EDR主要工具集安全響應(yīng)的playbook安全響應(yīng)的支撐平臺(tái)建設(shè)安全響應(yīng)需要的數(shù)據(jù)和威脅情報(bào)的作用泰坦人工智能安全態(tài)勢(shì)感知平臺(tái)基于大數(shù)據(jù)技術(shù)，對(duì)企業(yè)全面的安全信息進(jìn)行集中采集、存儲(chǔ)和分析，利用流式計(jì)算、智能分析引擎、和可視化等

6、 手段，結(jié)合豐富的威脅情報(bào)，對(duì)企業(yè)面臨的外部攻擊、內(nèi)部違規(guī)行為進(jìn)行檢測(cè)，為企業(yè)建立快速有效的威脅檢測(cè)、分析、處置能力和全網(wǎng) 安全態(tài)勢(shì)感知能力，使得企業(yè)的信息安全可知、可見、可控。大數(shù)據(jù)智能分析引擎威脅情報(bào)可視化3、安全響應(yīng)的支撐平臺(tái)建設(shè)泰坦 - 系統(tǒng)架構(gòu)數(shù) 據(jù) 預(yù) 處 理傳 感 器NETWORKWAFIAM/ADAVNGFWEDRDNS安全智能分析大數(shù)據(jù)存儲(chǔ)威脅情報(bào)態(tài)勢(shì)感知 事件響應(yīng) 威脅獵捕 行為分析 知識(shí)圖譜 數(shù)據(jù)檢索告警中心JIRA資產(chǎn)庫安全設(shè)備3、安全響應(yīng)的支撐平臺(tái)建設(shè)(續(xù))SYSLOGHIPSThreat Intelligencewindows/sysmonKIBANAlinux/o

7、squeryNETWORKWAFNGFWMAILADAPPLICATIONSYSLOGLOGSTASHTIR3、安全響應(yīng)的支撐平臺(tái)建設(shè)(續(xù))泰坦 - 系統(tǒng)架構(gòu)資產(chǎn)角度的安全可視化3、安全響應(yīng)的支撐平臺(tái)建設(shè)(續(xù))Inbound AttacksOutbound Alert TrendServices90RISK10CriticalVulnerabilitiesRisky4 Assets0CRITICAL1HIGH7LOW508INFO官網(wǎng)系統(tǒng)安全態(tài)勢(shì)VulnerabilitiesVulnerabilities23MEDAlerts2018-8-28 12:07:302018-8-28 11:07:

8、222018-8-28 11:00:212018-8-27 02:08:102018-8-27 00:13:15USER_AGENTS BLEXBot User-AgentET WEB_SERVER Possible Apache Struts OGNL Command ExecutionET CURRENT_EVENTS Jembot PHP Webshell (hell.php) ET POLICY PE EXE or DLL Windows file download HTTP FTP Scan detected (ftp_anonymous.nasl)1481026920Asset C

9、orrelation MapTop Risky HostsTrafficCritical Attack Sources安全響應(yīng)的現(xiàn)狀和挑戰(zhàn)123456目錄終端檢測(cè)響應(yīng)/EDR主要工具集安全響應(yīng)的playbook安全響應(yīng)需要的數(shù)據(jù)和威脅情報(bào)的作用安全響應(yīng)“必修課”安全響應(yīng)的支撐平臺(tái)建設(shè)4、安全響應(yīng)的“必修課”例行漏洞與補(bǔ)丁運(yùn)營(yíng)與預(yù)警（難易度-低）重大漏洞的應(yīng)急響應(yīng)（難易度-低）安全監(jiān)控與告警（難易度-中）出站灰流量分析（難易度-中）自動(dòng)化關(guān)聯(lián)分析（難易度-高）紅藍(lán)對(duì)抗演習(xí)（難易度-高）（1）例行漏洞與補(bǔ)丁運(yùn)營(yíng)與預(yù)警（難易度-低）4、安全響應(yīng)的“必修課”（續(xù)）互聯(lián)網(wǎng)側(cè)操 作系統(tǒng)層漏 洞掃描目標(biāo)：所

10、有互聯(lián)網(wǎng)IP地址網(wǎng)段頻率：每周三 次互聯(lián)網(wǎng)側(cè) web應(yīng)用層 漏洞掃描內(nèi)網(wǎng)側(cè)操作 系統(tǒng)層漏洞 掃描目標(biāo)：所有互 聯(lián)網(wǎng)web類應(yīng) 用頻率：每周1 次目標(biāo)：所有內(nèi)網(wǎng)服務(wù)器頻率：每周一 次滲透測(cè)試目標(biāo)：所有互 聯(lián)網(wǎng)系統(tǒng)頻率：每?jī)蓚€(gè) 月一次通過JIRA進(jìn) 行跟蹤微軟補(bǔ)丁日通告機(jī)制桌面終端補(bǔ)?。鹤詣?dòng)化推送與安裝+每月定時(shí)重啟。服務(wù)器補(bǔ)丁：互聯(lián)網(wǎng)側(cè)一個(gè)月內(nèi)完成更新，內(nèi)網(wǎng)側(cè)一 個(gè)季度內(nèi)完成更新。新上線服務(wù)器：物理機(jī)在交付時(shí)補(bǔ)丁即拉到最新，虛 擬機(jī)每月對(duì)鏡像做更新。關(guān)注高危組件補(bǔ) 丁級(jí)別針對(duì)高危組件（如Weblogic、Jboss、websphere）的資產(chǎn)使用情況，制定專屬儀表板；根據(jù)官方通告，采取先互聯(lián)網(wǎng)側(cè)

11、系統(tǒng)后內(nèi)網(wǎng)側(cè)的順序 安裝補(bǔ)丁。其他中間件標(biāo)準(zhǔn)化：制定操作系統(tǒng)、中間件與組件的標(biāo)準(zhǔn)化 版本并持續(xù)更新，與架構(gòu)師團(tuán)隊(duì)共同推動(dòng)執(zhí)行。新上線系統(tǒng)：一律與標(biāo)準(zhǔn)化版本保持一致。已上線系統(tǒng)：每3個(gè)月拉齊一次。紅色（1級(jí)）橙色（2級(jí)）黃色（3級(jí)）黃色（3級(jí)）：公司某個(gè)別系統(tǒng)高可信度可以 遭受攻擊（但仍未）或正在遭受攻擊，可導(dǎo)致 個(gè)別系統(tǒng)攻陷。威脅或事件性質(zhì)為孤立，預(yù)期 影響范圍為孤立系統(tǒng)。橙色（2級(jí)）：公司大面積系統(tǒng)和信息資產(chǎn)可 遭受攻擊（但仍未）或正在遭受的針對(duì)個(gè)別系 統(tǒng)的攻擊正在朝著大面積蔓延的趨勢(shì)發(fā)展，或 多名員工遭受或感知攻擊。威脅或事件性質(zhì)為 群體，預(yù)期影響范圍為大面積系統(tǒng)或資產(chǎn)。 紅色（1級(jí)）：公

12、司正在遭受大面積攻擊，可 導(dǎo)致業(yè)務(wù)連續(xù)性影響或監(jiān)管影響。該級(jí)別預(yù)警 與信息技術(shù)部整體應(yīng)急預(yù)案接軌，應(yīng)適時(shí)啟動(dòng) 公司級(jí)應(yīng)急預(yù)案。漏洞管理補(bǔ)丁運(yùn)營(yíng)漏洞預(yù)警（2）重大漏洞的應(yīng)急響應(yīng)（難易度-低）4、安全響應(yīng)的“必修課”Weblogic反序列 化 （CVE-2018- 262）漏洞評(píng)估、影響范圍預(yù)警定級(jí)發(fā)布預(yù)警組織修復(fù)驗(yàn)證修復(fù)解除預(yù)警從廠商公告、安全社區(qū)和朋 友圈等渠道獲 取漏洞情報(bào)。通過郵件方式對(duì)全I(xiàn)T 發(fā)布“橙色”預(yù)警。 郵件正文直接給出 已知受影響的系統(tǒng) 名稱、IP地址、人和 團(tuán)隊(duì)等信息，同時(shí) 要求其他人員開展 自查，防止遺漏。1、系統(tǒng)管理員根 據(jù)官方給出的修 復(fù)方式組織修復(fù)， 2、安全運(yùn)營(yíng)人員

13、 聯(lián)系網(wǎng)絡(luò)層IPS廠 商獲取IPS特征簽 名，并下發(fā)全網(wǎng)。利用漏洞掃描器、 POC腳本等方式 對(duì)漏洞進(jìn)行修復(fù)驗(yàn) 證。使用漏洞掃描器 就該漏洞進(jìn)行全 網(wǎng)掃描。通過郵件方式解 除預(yù)警。根據(jù)漏洞影響的安全情報(bào)廠商、 資產(chǎn)類型、公司資產(chǎn)數(shù)據(jù)庫，確 定受影響的服務(wù) 器以及應(yīng)該參與 響應(yīng)的系統(tǒng)管理 員。依據(jù)安全響應(yīng)中 心漏洞響應(yīng)應(yīng)急 預(yù)案中的設(shè)定， 確定本次漏洞響 應(yīng)級(jí)別為3級(jí) “黃色”。漏洞應(yīng)急響應(yīng)能力建設(shè)的幾個(gè)關(guān)注點(diǎn)：1、漏洞情報(bào)的獲取。2、精細(xì)化的資產(chǎn)管理，特別是高危組件的使用情況很重要。3、應(yīng)急響應(yīng)流程的制定。4、漏洞快速檢測(cè)能力。（3）安全分級(jí)監(jiān)控、告警與基于優(yōu)先級(jí)響應(yīng)（難易度-中）4、安全響應(yīng)

14、的“必修課”Intelligence類1、出站惡意域 名訪問2、出站惡意IP 訪問3、辦公網(wǎng)惡意 DNS解析4、服務(wù)器區(qū)惡 意DNS解析5、本地惡意文 件hash6、SEP終端 IPS7、SEP終端病 毒查殺（辦公 網(wǎng)）8、SEP終端病 毒查殺（核心 網(wǎng)）9、OSquery 檢測(cè)規(guī)則10、Sysmon 檢測(cè)規(guī)則AV類EDR類NIPS類11、Suricata- ET PRO規(guī)則告 警-高危12、Suricata- ET PRO規(guī)則告 警-中危13、Suricata- ET PRO規(guī)則告 警-低危14、Suricata- ET PRO規(guī)則告 警-部分攻陷類 相關(guān)-嚴(yán)重AI類15、DGA檢測(cè) 模型安

15、全告警類型、等級(jí)與Kill-Chain的關(guān)系嚴(yán)重高危中危低危告警等級(jí)ReconnaissanceWeaponizationDeliveryExploitationInstallationCommand&ControlActions on objective1015768951324響應(yīng)優(yōu)先級(jí)高（4）出站灰流量分析（難易度-中）4、安全響應(yīng)的“必修課”白名單企業(yè)自有互聯(lián)網(wǎng)IP地址段。業(yè)務(wù)訪問白名單。黑名單任意一家情報(bào) 廠商域名判斷 為黑。偏白微步情報(bào)域名判 斷為白，其余廠 商未知純灰所有情報(bào)源IP和 域名的判定結(jié)果 均為未知。偏黑任意一家情報(bào) 源IP判定結(jié)果為 黑，且所有情 報(bào)源域名判斷 為未知

16、1、每月對(duì)公司威脅情報(bào)庫 中的純灰連接進(jìn)行人工判斷， 具體結(jié)合證書、whois、服務(wù)器管理員問詢等進(jìn)行綜合判斷，降低情報(bào)庫中純灰連 接數(shù)量。2、每天對(duì)本周新增的偏黑 及黑的連接進(jìn)行響應(yīng)，查明 事件原因，排除事件隱患。目標(biāo)：找出潛在的攻陷事件。（5）自動(dòng)化關(guān)聯(lián)分析（難易度-高）4、安全響應(yīng)的“必修課”場(chǎng)景一：出站訪問IP、域名、URL、DNS解析命中單一情報(bào)廠商IOC產(chǎn)生告警序號(hào)關(guān)聯(lián)元素關(guān)聯(lián)項(xiàng)目關(guān)聯(lián)項(xiàng)類型目的1DIP、域名、URL、 URI、DNS該DIP、域名、URL、DNS解析在其他情報(bào)廠商上的信息。情報(bào)豐富情報(bào)信息。2DIP該DIP在防火墻上的原始日志。原始日志判斷出站連接是否成功。3DI

17、P該DIP的流量信息。流量查看疑似惡意流量的詳情。4DIP該DIP在EDR日志中的進(jìn)程信息。原始日志查詢?cè)摮稣驹L問的進(jìn)程名稱。5HASH動(dòng)作4查詢到進(jìn)程的HASH多引擎威脅情報(bào)及沙箱檢測(cè)結(jié) 果。情報(bào)獲取該進(jìn)程的情報(bào)及沙箱分析結(jié)果。6SIP該SIP的EPP告警。規(guī)則類告警判斷該SIP服務(wù)器是否感染惡意程序。7SIP該SIP的EDR告警。規(guī)則類告警判斷該SIP服務(wù)器是否命中EDR規(guī)則。8SIP該SIP的HIPS告警。規(guī)則類告警判斷該SIP服務(wù)器是否有惡意網(wǎng)絡(luò)行為。9SIP該SIP的南北向NIDS告警。規(guī)則類告警判斷該SIP服務(wù)器是否命中IDS規(guī)則。10SIP該SIP的東西向NIDS告警。規(guī)則類告警

18、判斷該SIP服務(wù)器是否有橫向移動(dòng)行為。11SIP、域名該SIP的DGA域名檢測(cè)告警信息AI類告警判斷該SIP是否發(fā)生過DGA域名解析+判斷 該域名是否為DGA域名。12SIP、DIP、域名、 URL、DNS、HASH該SIP和DIP的歷史事件信息。事件查看歷史事件庫中是否有與該DIP、域名、URL、DNS、HASH解析和SIP相關(guān)的事件。（5）自動(dòng)化關(guān)聯(lián)分析（難易度-高）（續(xù)）4、安全響應(yīng)的“必修課”（續(xù)）場(chǎng)景二：針對(duì)高危資產(chǎn)的入站HTTP payload告警，例如weblogic反序列化漏洞序號(hào)關(guān)聯(lián)元素關(guān)聯(lián)項(xiàng)目關(guān)聯(lián)項(xiàng)類型目的1SIP該SIP在威脅情報(bào)廠商上的信息。情報(bào)豐富情報(bào)信息。2DIPD

19、IP服務(wù)器上的資產(chǎn)、版本及其漏洞信息內(nèi)部資產(chǎn)+漏洞信息判斷DIP上的資產(chǎn)及其版本是否與本次疑 似攻擊所利用的資產(chǎn)一致，以及是否存在 本次疑似攻擊所利用的漏洞。3SIP該SIP的HTTP請(qǐng)求及其響應(yīng)數(shù)據(jù)包流量查看該SIP所有的HTTP請(qǐng)求及其響應(yīng)數(shù)據(jù) 包的詳細(xì)信息。UA、COOKIE、URI、POST DATA等。4DIPDIP服務(wù)器上的EDR反彈shell或命令執(zhí)行的告警規(guī)則類告警查看DIP機(jī)器上是否有反彈shell以及命令執(zhí)行5SIPSIP的NIDS Webshell上傳告警信息規(guī)則類告警查看NIDS上是否有該SIP的webshell上傳告 警。6SIPSIP的NIDS 命令執(zhí)行告警信息規(guī)則

20、類告警查看NIDS是否有該SIP的命令執(zhí)行告警。7DIPDIP服務(wù)器上的HIPS告警。規(guī)則類告警查看DIP上是否有惡意網(wǎng)絡(luò)行為。8SIP、DIP該SIP和DIP的歷史事件信息。事件查看歷史事件庫中是否有與該DIP和SIP相關(guān)的事件。（5）自動(dòng)化關(guān)聯(lián)分析（難易度-高）（續(xù)）4、安全響應(yīng)的“必修課”（續(xù)）場(chǎng)景三：EPP告警序號(hào)關(guān)聯(lián)元素關(guān)聯(lián)項(xiàng)目關(guān)聯(lián)項(xiàng)類型目的1惡意文件HASH惡意文件HASH的多引擎掃描結(jié)果情報(bào)豐富情報(bào)信息。2IP該IP服務(wù)器上所有進(jìn)程的nessus多引擎掃描結(jié)果。Malware檢 測(cè)結(jié)果。3IP、進(jìn)程名該IP服務(wù)器上惡意文件對(duì)應(yīng)的相關(guān)進(jìn)程的行為、網(wǎng)絡(luò)連 接、注冊(cè)表等原始日志分析相關(guān)

21、進(jìn)程的行為。4IP該IP服務(wù)器的EDR告警規(guī)則類告警查看該服務(wù)器上是否有其他惡意進(jìn)程告警5IP該IP服務(wù)器的出站的情報(bào)類告警情報(bào)查看該服務(wù)器是否有惡意出站訪問。6IP該IP服務(wù)器的HIPS告警規(guī)則類告警查看該服務(wù)器是否有橫向的惡意訪問。7IP人工：使用THRECON對(duì)該服務(wù)器取證規(guī)則類告警獲取該服務(wù)器的用戶和組、進(jìn)程、服務(wù)、 注冊(cè)表、網(wǎng)絡(luò)行為、任務(wù)計(jì)劃、日志以及 補(bǔ)丁等必要信息，以便進(jìn)行人工分析和判 定。8IP、惡意文件HASH該IP和惡意文件HASH的歷史事件信息。事件查看歷史事件庫中是否有與該IP和惡意文件HASH相關(guān)的事件。（6）藍(lán)對(duì)抗演習(xí)（難易度-高）安全響應(yīng)的“必修課”驗(yàn)證“被動(dòng)”防

22、御設(shè)施的有效性和薄弱點(diǎn)。體驗(yàn)真實(shí)環(huán)境攻擊，感知攻擊過程，借助流量、日志分 析發(fā)現(xiàn)“被動(dòng)“防御漏掉的威脅。檢驗(yàn)自身對(duì)互聯(lián)網(wǎng)資產(chǎn)的掌控程度。挖掘?qū)嵸|(zhì)性的互聯(lián)網(wǎng)漏洞，同時(shí)驗(yàn)證自有漏掃工具的 有效性。摸清在響應(yīng)時(shí)需要收集的日志和流量。完善應(yīng)急響應(yīng)流程。演 習(xí) 目 標(biāo)紅軍：人員組成：SRC+安全服務(wù)公司技術(shù)專家 任務(wù)：1、策劃與編排演習(xí)。2、演習(xí)期間監(jiān)測(cè)被動(dòng)防御設(shè)備上的告 警信息。3、根據(jù)演習(xí)結(jié)果，優(yōu)化防御性設(shè)備上的安全策略。藍(lán)軍：人員組成：眾測(cè)平臺(tái)的精英白帽子20+任務(wù)：1、提供真實(shí)的高質(zhì)量攻擊流量。2、找出具有實(shí)質(zhì)性威脅的中高危漏洞。3、演習(xí)結(jié)束后協(xié)助紅軍對(duì)攻擊特征進(jìn)行總結(jié)，形成IOC。安全響應(yīng)的現(xiàn)

23、狀和挑戰(zhàn)123456目錄安全響應(yīng)“必修課”安全響應(yīng)的playbook安全響應(yīng)需要的數(shù)據(jù)和威脅情報(bào)的作用安全響應(yīng)的支撐平臺(tái)建設(shè)終端檢測(cè)響應(yīng)/EDR主要工具集SYSMON介紹（windows）簡(jiǎn)介：Sysmon是由Windows Sysinternals，當(dāng)前最新版本為V8.0 下載鏈接：/en-us/sysinternals/downloads/sysmon 主要功能：監(jiān)視和記錄系統(tǒng)活動(dòng)，包括進(jìn)程創(chuàng)建、文件創(chuàng)建、網(wǎng)絡(luò)連接等，并記錄到Windows事件日志中。安裝：sysmon accepteula i c:windowsconfig.xml 卸載：sysmon u更新配置文件：sysmon c

24、c:windowsconfig.xml 日志查看方法：事件查看器-應(yīng)用程序和服務(wù)日志-Microsoft-Windows-sysmonSYSMON的日志類別終端檢測(cè)響應(yīng)/EDR主要工具集SYSMON一些典型的應(yīng)用場(chǎng)景終端檢測(cè)響應(yīng)/EDR主要工具集（續(xù)）檢測(cè)Powershell惡意執(zhí)行檢測(cè)惡意word文檔執(zhí)行檢測(cè)惡意網(wǎng)絡(luò)連接SYSMON實(shí)踐建議1|、推薦使用SwiftOnSecurity的公版配置文件進(jìn)行mod（ /SwiftOnSecurity/sysmon-config ）2、使用開源規(guī)則集（ /Neo23x0/sigma ）及自研規(guī)則集匹配日志內(nèi)容進(jìn)行告警。 3、實(shí)時(shí)采集，需要對(duì)各類事件做

25、好進(jìn)程過濾，以避免噪音過多。4、文件hash日志與多源威脅情報(bào)進(jìn)行關(guān)聯(lián)告警5、sysmon進(jìn)程的保護(hù)和監(jiān)控，日志文件及時(shí)上傳集中存儲(chǔ)。6、日志采集檢測(cè)規(guī)則已知，需要不斷優(yōu)化檢測(cè)機(jī)制。7、網(wǎng)絡(luò)連接日志與流量采集、IDS、出入站情報(bào)等進(jìn)行關(guān)聯(lián)告警終端檢測(cè)響應(yīng)/EDR主要工具集（續(xù)）/TonyPhipps/THReconC:Users$env:UserNameDocumentsW indowsPowerShellModulesTHRecon使用方法：獲取所有信息： Invoke-THR -Quick -Output c:temp （收集的信息默認(rèn)存儲(chǔ) 在c:temp目錄下）獲取主機(jī)的特定信息： In

26、voke-THR -Modules Module1, Module2, etc. -Output c:temp例如：獲取注冊(cè)表地址信息， Invoke-THR -Modules registry注意事項(xiàng)：1、powershell需要以管理員身份運(yùn)行。2、使用前需要執(zhí)行set-executionpolicy remotesigned.3、掃描端需要powershell5.0或更高版本，被掃描端需要ps3.0或更高版本。THRecon介紹（windows）簡(jiǎn)介：THRecon是Github上一個(gè)開源的Threat Hunting響應(yīng)工具，能夠收集端點(diǎn) 上的信息用于事件響應(yīng)、 threat Hunt

27、ing和現(xiàn)場(chǎng)取證。鏈接： /TonyPhipps/THRecon安裝：git clone終端檢測(cè)響應(yīng)/EDR主要工具集THRecon收集的信息類型THRecon運(yùn)行截圖OSQUEYRY介紹（linux）簡(jiǎn)介：Facebook 著名開源操作系統(tǒng)檢測(cè)和監(jiān)控項(xiàng)目， 100%使用系統(tǒng)API實(shí)現(xiàn)，沒有使用 fork execve ，也支持windows操作系統(tǒng)。鏈 接 ： Github：/facebook/osquery官 網(wǎng)：https:/osquery.io安裝：$ sudo rpm -ivh https:/osquery- /centos7/noarch/osquery-s3-centos7-re

28、po-1- 0.0.noarch.rpm$ sudo yum install osquery$ sudo service osqueryd start更新配置文件：覆蓋文件（/etc/osquery/osquery.conf），并重啟服務(wù)。查詢：實(shí)時(shí)查詢接口：輸入osqueryi后執(zhí)行SQL語句進(jìn)行檢索歷史日志存儲(chǔ)在：/var/log/osquery/osqueryd.results.log目錄下。終端檢測(cè)響應(yīng)/EDR主要工具集（續(xù)）查詢方法示例：（1）查詢系統(tǒng)用戶命令：select * from users;（2）查詢網(wǎng)絡(luò)連接情況命 令 ： select processes.pid,list

29、ening_ports.port,lisselect processes.pid,listening_ports.port,listening_tocol,listen ing_ports.address from listening_ports JOIN processes USING (pid) limit 20;cpuid crashes crontabcups_destinationscups_jobs curlcurl_certificate device_file device_firmware device_hash device_partitions disk_encrypti

30、on disk_eventsdocker_container_mountsdocker_container_portsdocker_container_stats docker_containers docker_image_labels docker_imagesdocker_networks docker_version docker_volume_labels docker_volumes etc_hosts etc_protocols etc_services event_taps extended_attributes fan_speed_sensors filefile_event

31、s firefox_addonsdocker_container_networks gatekeeperdocker_container_processesgroupshardware_events hash homebrew_packages intel_me_info interface_addresseskernel_info kernel_panics keychain_acls keychain_items known_hosts lastlaunchdlistening_ports load_average logged_in_users magicmanaged_policies

32、gatekeeper_approved_apmpdsfindmemory_devices mounts nfs_shares nvramopera_extensionsaccount_policy_dat aacpi_tables ad_configalfalf_exceptions alf_explicit_auths alf_services app_schemesapps apt_sources arp_cache aslaugeasauthorization_mechandns_resolversismsauthorizationsdocker_container_labelsauth

33、orized_keys block_devices browser_plugins carbon_black_info carves certificates chrome_extensions cpu_timedocker_infointerface_details os_versiondocker_network_labels iokit_devicetreeosquery_eventsiokit_registryosquery_extensionskernel_extensions osquery_flagsosquery_info osquery_packs osquery_regis

34、try osquery_schedule package_bom package_install_histlaunchd_overrides orypackage_receipts pci_devices platform_info plist power_sensors preferences process_envs process_events process_memory_map process_open_filesprocess_open_sockets processes prometheus_metricspython_packages quicklook_cache route

35、s safari_extensions sandboxes shared_foldersshell_history signature sip_config smbios_tables smc_keys startup_items sudoers suid_bin system_controls system_infotemperature_sensors timetime_machine_backups time_machine_destinat ionsuptime usb_devices user_eventsuser_groups user_interaction_events use

36、r_ssh_keysusersvirtual_memory_infowifi_networkssharing_preferenceswifi_statuswifi_survey xprotect_entries xprotect_meta xprotect_reports yarayara_eventsOSQUERY日志類別osquery SELECT * FROM.終端檢測(cè)響應(yīng)/EDR主要工具集（續(xù)）OSQUEYRY典型應(yīng)用場(chǎng)景osquery SELECT DISTINCT(processes.pid), , processes.path, processes.cmdline, proces

37、ses.root, process_open_sockets.remote_address, process_open_sockets.remote_port, (SELECT cmdline FROMprocesses AS parent_cmdline WHERE pid=processes.parent) AS parent_cmdline FROM processes JOIN process_open_sockets USING (pid) LEFT OUTER JOIN process_open_files ON processes.pid = process_open_files

38、.pid WHERE (name=sh OR name=bash) AND remote_address NOT IN (, :, )AND remote_address NOT LIKE 10.% ANDremote_address NOT LIKE 192.168.%;檢測(cè)反彈shell終端檢測(cè)響應(yīng)/EDR主要工具集（續(xù)）1、推薦使用Palantir的公版配置文件進(jìn)行mod（ /palantir/osquery-configuration ）2、定時(shí)采集，存在瞬時(shí)狀態(tài)漏采的情況，需要合理設(shè)置配置文件的interval。3、對(duì)osquery服務(wù)的保護(hù)和監(jiān)控，日志文件及時(shí)上傳集中存儲(chǔ)。4、日志

39、采集檢測(cè)規(guī)則已知，需要不斷優(yōu)化檢測(cè)機(jī)制。OSQUEYRY實(shí)踐建議終端檢測(cè)響應(yīng)/EDR主要工具集（續(xù)）1安全響應(yīng)的現(xiàn)狀和挑戰(zhàn)3456目錄安全響應(yīng)“必修課”終端檢測(cè)響應(yīng)/EDR主要工具集2安全響應(yīng)需要的數(shù)據(jù)和威脅情報(bào)的作用安全響應(yīng)的支撐平臺(tái)建設(shè)安全響應(yīng)的playbook6、安全響應(yīng)的playbook安全事件響應(yīng)的兩大目標(biāo)： 提高信噪比增加高保真的告警，擊敗告警疲勞，專注于真正的危險(xiǎn)和問題 降低MTTR固化流程，豐富場(chǎng)景，并持續(xù)運(yùn)營(yíng)，使響應(yīng)時(shí)間不斷降低安全事件響應(yīng)的目標(biāo)6、安全響應(yīng)的playbook（續(xù)）第一步：告警的分類定級(jí)和誤報(bào)篩選6、安全響應(yīng)的playbook（續(xù)）第二步：固化基本流程并豐富分場(chǎng)景響應(yīng)劇本（playbook）安全事件響應(yīng)劇本安全設(shè)備類FW類WAF類郵件沙箱類NIPS類ET RULE類Bro類HIPS類內(nèi)網(wǎng)攻擊外網(wǎng)攻擊TI類IP類URL類DN