安全響應的自動化運營解決方案

安全響應的自動化運營解決方案技術創(chuàng)新，變革未來安全響應的自動化運營解決方案技術創(chuàng)新，變革未來1安全響應的現(xiàn)狀和挑戰(zhàn)123456目錄安全響應的支撐平臺建設安全響應需要的數(shù)據(jù)和威脅情報的作用安全響應“必修課”終端檢測響應/EDR主要工具集安全響應的playbook安全響應的現(xiàn)狀和挑戰(zhàn)123456目錄安全響應的支撐平臺建設安2某次內(nèi)網(wǎng)紅藍對抗暴露的問題單一的EPP解決方案存在檢測盲點1、安全響應的現(xiàn)狀和挑戰(zhàn)某次內(nèi)網(wǎng)紅藍對抗暴露的問題單一的EPP解決方案存在檢測盲點13沒有完美的防護入侵事件始終存在多維度的檢測縱深的分析研判完善豐富的響應流程不斷降低的MTTR持續(xù)循環(huán)迭代形成閉環(huán)紅藍對抗引發(fā)的思考1、安全響應的現(xiàn)狀和挑戰(zhàn)（續(xù)）沒有完美的防護入侵事件始終存在多維度的檢測縱深的分析研判4安全響應的現(xiàn)狀和挑戰(zhàn)123456目錄安全響應的支撐平臺建設安全響應“必修課”終端檢測響應/EDR主要工具集安全響應的playbook安全響應需要的數(shù)據(jù)和威脅情報的作用安全響應的現(xiàn)狀和挑戰(zhàn)123456目錄安全響應的支撐平臺建設安5安全響應依賴的基礎數(shù)據(jù)與Kill-Chain各階段對應ReconnaissanceWeaponizationDeliveryExploitationInstallationCommand

&ControlAction

&Objective流量IPS、IDS告警應用認證日志郵件網(wǎng)關（如特定擴展名命中）Sandbox告警PC的終端安全（含HIPS等）告警互聯(lián)網(wǎng)訪問網(wǎng)關的威脅告警NGFW告警，WAF告警墻后的南北向流量監(jiān)控HIPS/HIDS告警漏洞信息主機OS日志和Sysmon/Osquery等實現(xiàn)的增強日志HTTP訪問，應用（如登錄、訪問），郵件，AD日志等入站FW日志或者入站流量監(jiān)控日志東西向流量服務器上盡可能多的

?

DNS日志監(jiān)控信息，如進程 ?

出站流量中的域名或IPhash和行為 訪問，證書HTTP訪問日志、完整

?

出站FW日志請求payload和響應payload的前150字節(jié)服務器上盡可能多的監(jiān)控信息，如進程hash和行為是不是被搞了？誰搞的我？我被搞的多慘？如何被搞的？我被盯上了？2、安全響應需要的數(shù)據(jù)和威脅情報的作用安全響應依賴的基礎數(shù)據(jù)與Kill-Chain各階段對應Rec6Kill-Chain各階段常用到的威脅情報數(shù)據(jù)—應急響應與安全分析的催化劑ReconnaissanceWeaponizationDeliveryExploitationInstallationCommand

&ControlAction

&Objective收件人郵件地址算法郵件名特征特定特定事件的CVE、?主機特征：Mutex、

?

域名、URL、歷史解析目標數(shù)據(jù)目標國家密鑰郵件正文特征0-day寫入的注冊表項、文 IP、WHOIS打包方法目標行業(yè)特定互斥量目標郵件和地址通用payload特征件名或路徑等 ?

SSL證書傳輸方法目標個體執(zhí)行流程惡意代碼進入方式?Yararule ?

域名注冊信息破壞功能掃描特征加解密方式魚叉郵件?特定主機監(jiān)控程序，?

域名使用偏好特定功能模塊水坑攻擊如Sysmon/Osquery

?

域名命名偏好對抗分析措施U盤規(guī)則集IP、IP反查域名、歷史源碼工程路徑主動滲透Webshell特征域名解析、RDNS特定數(shù)據(jù)字串初始啟動路徑IP所在ASN、地址位置語言編譯環(huán)境持續(xù)啟動方式域名或IP信譽評級、標特定數(shù)字簽名偽裝正常模式簽、關聯(lián)事件和關聯(lián)通組件組織架構信樣本特別的錯誤通信協(xié)議后門工具工具類型工具配置認證憑據(jù)是不是被搞了？誰搞的我？我被搞的多慘？如何被搞的？我被盯上了？2、安全響應需要的數(shù)據(jù)和威脅情報的作用Kill-Chain各階段常用到的威脅情報數(shù)據(jù)—應急響應與安7安全響應的現(xiàn)狀和挑戰(zhàn)123456目錄安全響應“必修課”終端檢測響應/EDR主要工具集安全響應的playbook安全響應的支撐平臺建設安全響應需要的數(shù)據(jù)和威脅情報的作用安全響應的現(xiàn)狀和挑戰(zhàn)123456目錄安全響應“必修課”終端檢8泰坦人工智能安全態(tài)勢感知平臺基于大數(shù)據(jù)技術，對企業(yè)全面的安全信息進行集中采集、存儲和分析，利用流式計算、智能分析引擎、和可視化等手段，結合豐富的威脅情報，對企業(yè)面臨的外部攻擊、內(nèi)部違規(guī)行為進行檢測，為企業(yè)建立快速有效的威脅檢測、分析、處置能力和全網(wǎng)安全態(tài)勢感知能力，使得企業(yè)的信息安全可知、可見、可控。大數(shù)據(jù)智能分析引擎威脅情報可視化3、安全響應的支撐平臺建設泰坦人工智能安全態(tài)勢感知平臺大數(shù)據(jù)智能分析引擎威脅情報可視化9泰坦

-

系統(tǒng)架構數(shù)據(jù)預處理傳感器NETWORKWAFIAM/ADAVNGFWEDRDNS安全智能分析大數(shù)據(jù)存儲威脅情報態(tài)勢感知事件響應威脅獵捕行為分析知識圖譜數(shù)據(jù)檢索告警中心JIRA資產(chǎn)庫安全設備3、安全響應的支撐平臺建設(續(xù))泰坦-系統(tǒng)架構數(shù)據(jù)預處理傳感器NETWORK10SYSLOGHIPSThreatIntelligencewindows/sysmonKIBANAlinux/osqueryNETWORKWAFNGFWMAILADAPPLICATIONSYSLOGLOGSTASHTIR3、安全響應的支撐平臺建設(續(xù))泰坦

-

系統(tǒng)架構SYSLOGHIPSThreatIntelligencew11資產(chǎn)角度的安全可視化3、安全響應的支撐平臺建設(續(xù))Inbound

AttacksOutboundAlert

TrendServices90RISK10CriticalVulnerabilitiesRisky4Assets0CRITICAL1HIGH7LOW508INFO官網(wǎng)系統(tǒng)安全態(tài)勢VulnerabilitiesVulnerabilities23MEDAlerts2018-8-28

12:07:302018-8-28

11:07:222018-8-28

11:00:212018-8-27

02:08:102018-8-27

00:13:15USER_AGENTSBLEXBot

User-AgentETWEB_SERVERPossibleApacheStrutsOGNLCommand

ExecutionETCURRENT_EVENTSJembotPHPWebshell(hell.php)ETPOLICYPEEXEorDLLWindowsfiledownload

HTTPFTPScandetected

(ftp_anonymous.nasl)148 1026920AssetCorrelation

MapTopRisky

HostsTrafficCriticalAttack

Sources資產(chǎn)角度的安全可視化3、安全響應的支撐平臺建設(續(xù))Inbo12安全響應的現(xiàn)狀和挑戰(zhàn)123456目錄終端檢測響應/EDR主要工具集安全響應的playbook安全響應需要的數(shù)據(jù)和威脅情報的作用安全響應“必修課”安全響應的支撐平臺建設安全響應的現(xiàn)狀和挑戰(zhàn)123456目錄終端檢測響應/EDR主要134、安全響應的“必修課”例行漏洞與補丁運營與預警（難易度-低）重大漏洞的應急響應（難易度-低）安全監(jiān)控與告警（難易度-中）出站灰流量分析（難易度-中）自動化關聯(lián)分析（難易度-高）紅藍對抗演習（難易度-高）4、安全響應的“必修課”例行漏洞與補丁運營與預警（難易度-低14（1）例行漏洞與補丁運營與預警（難易度-低）4、安全響應的“必修課”（續(xù)）互聯(lián)網(wǎng)側操作系統(tǒng)層漏洞掃描目標：所有互聯(lián)網(wǎng)IP地址網(wǎng)段頻率：每周三次互聯(lián)網(wǎng)側web應用層漏洞掃描內(nèi)網(wǎng)側操作系統(tǒng)層漏洞掃描目標：所有互聯(lián)網(wǎng)web類應用頻率：每周1次目標：所有內(nèi)網(wǎng)服務器頻率：每周一次滲透測試目標：所有互聯(lián)網(wǎng)系統(tǒng)頻率：每兩個月一次通過JIRA進行跟蹤微軟補丁日通告機制桌面終端補?。鹤詣踊扑团c安裝+每月定時重啟。服務器補?。夯ヂ?lián)網(wǎng)側一個月內(nèi)完成更新，內(nèi)網(wǎng)側一個季度內(nèi)完成更新。新上線服務器：物理機在交付時補丁即拉到最新，虛擬機每月對鏡像做更新。關注高危組件補丁級別針對高危組件（如Weblogic、Jboss、websphere）的資產(chǎn)使用情況，制定專屬儀表板；根據(jù)官方通告，采取先互聯(lián)網(wǎng)側系統(tǒng)后內(nèi)網(wǎng)側的順序安裝補丁。其他中間件標準化：制定操作系統(tǒng)、中間件與組件的標準化版本并持續(xù)更新，與架構師團隊共同推動執(zhí)行。新上線系統(tǒng)：一律與標準化版本保持一致。已上線系統(tǒng)：每3個月拉齊一次。紅色（1級）橙色（2級）黃色（3級）黃色（3級）：公司某個別系統(tǒng)高可信度可以遭受攻擊（但仍未）或正在遭受攻擊，可導致個別系統(tǒng)攻陷。威脅或事件性質為孤立，預期影響范圍為孤立系統(tǒng)。橙色（2級）：公司大面積系統(tǒng)和信息資產(chǎn)可遭受攻擊（但仍未）或正在遭受的針對個別系統(tǒng)的攻擊正在朝著大面積蔓延的趨勢發(fā)展，或多名員工遭受或感知攻擊。威脅或事件性質為群體，預期影響范圍為大面積系統(tǒng)或資產(chǎn)。紅色（1級）：公司正在遭受大面積攻擊，可導致業(yè)務連續(xù)性影響或監(jiān)管影響。該級別預警與信息技術部整體應急預案接軌，應適時啟動公司級應急預案。漏洞管理補丁運營漏洞預警（1）例行漏洞與補丁運營與預警（難易度-低）4、安全響應的“15（2）重大漏洞的應急響應（難易度-低）4、安全響應的“必修課”Weblogic反序列化（CVE-2018-262）漏洞評估、影響范圍預警定級發(fā)布預警組織修復驗證修復解除預警從廠商公告、安全社區(qū)和朋友圈等渠道獲取漏洞情報。通過郵件方式對全IT發(fā)布“橙色”預警。郵件正文直接給出已知受影響的系統(tǒng)名稱、IP地址、人和團隊等信息，同時要求其他人員開展自查，防止遺漏。1、系統(tǒng)管理員根據(jù)官方給出的修復方式組織修復，2、安全運營人員聯(lián)系網(wǎng)絡層IPS廠商獲取IPS特征簽名，并下發(fā)全網(wǎng)。利用漏洞掃描器、POC腳本等方式對漏洞進行修復驗證。使用漏洞掃描器就該漏洞進行全網(wǎng)掃描。通過郵件方式解除預警。根據(jù)漏洞影響的安全情報廠商、

資產(chǎn)類型、公司資產(chǎn)數(shù)據(jù)庫，確定受影響的服務器以及應該參與響應的系統(tǒng)管理員。依據(jù)安全響應中心漏洞響應應急預案中的設定，確定本次漏洞響應級別為3級“黃色”。漏洞應急響應能力建設的幾個關注點：1、漏洞情報的獲取。2、精細化的資產(chǎn)管理，特別是高危組件的使用情況很重要。3、應急響應流程的制定。4、漏洞快速檢測能力。（2）重大漏洞的應急響應（難易度-低）4、安全響應的“必修課16（3）安全分級監(jiān)控、告警與基于優(yōu)先級響應（難易度-中）4、安全響應的“必修課”Intelligence類1、出站惡意域名訪問2、出站惡意IP訪問3、辦公網(wǎng)惡意DNS解析4、服務器區(qū)惡意DNS解析5、本地惡意文件hash6、SEP終端IPS7、SEP終端病毒查殺（辦公網(wǎng)）8、SEP終端病毒查殺（核心網(wǎng)）9、OSquery檢測規(guī)則10、Sysmon檢測規(guī)則AV類

EDR類 NIPS類11、Suricata-ET

PRO規(guī)則告警-高危12、Suricata-ET

PRO規(guī)則告警-中危13、Suricata-ET

PRO規(guī)則告警-低危14、Suricata-ET

PRO規(guī)則告警-部分攻陷類相關-嚴重AI類15、DGA檢測模型安全告警類型、等級與Kill-Chain的關系嚴重高危中危低危告警等級ReconnaissanceWeaponizationDeliveryExploitationInstallationCommand&ControlActionsonobjective1015768951324響應優(yōu)先級高（3）安全分級監(jiān)控、告警與基于優(yōu)先級響應（難易度-中）4、安17（4）出站灰流量分析（難易度-中）4、安全響應的“必修課”白名單企業(yè)自有互聯(lián)網(wǎng)IP地址段。業(yè)務訪問白名單。黑名單任意一家情報廠商域名判斷為黑。偏白微步情報域名判斷為白，其余廠商未知純灰所有情報源IP和域名的判定結果均為未知。偏黑任意一家情報源IP判定結果為黑，且所有情報源域名判斷為未知1、每月對公司威脅情報庫中的純灰連接進行人工判斷，具體結合證書、whois、服務器管理員問詢等進行綜合判斷，降低情報庫中純灰連接數(shù)量。2、每天對本周新增的偏黑及黑的連接進行響應，查明事件原因，排除事件隱患。目標：找出潛在的攻陷事件。（4）出站灰流量分析（難易度-中）4、安全響應的“必修課”白18（5）自動化關聯(lián)分析（難易度-高）4、安全響應的“必修課”場景一：出站訪問IP、域名、URL、DNS解析命中單一情報廠商IOC產(chǎn)生告警序號關聯(lián)元素關聯(lián)項目關聯(lián)項類型目的1DIP、域名、URL、URI、DNS該DIP、域名、URL、DNS解析在其他情報廠商上的信息。情報豐富情報信息。2DIP該DIP在防火墻上的原始日志。原始日志判斷出站連接是否成功。3DIP該DIP的流量信息。流量查看疑似惡意流量的詳情。4DIP該DIP在EDR日志中的進程信息。原始日志查詢該出站訪問的進程名稱。5HASH動作4查詢到進程的HASH多引擎威脅情報及沙箱檢測結果。情報獲取該進程的情報及沙箱分析結果。6SIP該SIP的EPP告警。規(guī)則類告警判斷該SIP服務器是否感染惡意程序。7SIP該SIP的EDR告警。規(guī)則類告警判斷該SIP服務器是否命中EDR規(guī)則。8SIP該SIP的HIPS告警。規(guī)則類告警判斷該SIP服務器是否有惡意網(wǎng)絡行為。9SIP該SIP的南北向NIDS告警。規(guī)則類告警判斷該SIP服務器是否命中IDS規(guī)則。10SIP該SIP的東西向NIDS告警。規(guī)則類告警判斷該SIP服務器是否有橫向移動行為。11SIP、域名該SIP的DGA域名檢測告警信息AI類告警判斷該SIP是否發(fā)生過DGA域名解析+判斷該域名是否為DGA域名。12SIP、DIP、域名、URL、DNS、HASH該SIP和DIP的歷史事件信息。事件查看歷史事件庫中是否有與該DIP、域名、URL、DNS、HASH解析和SIP相關的事件。（5）自動化關聯(lián)分析（難易度-高）4、安全響應的“必修課”場19（5）自動化關聯(lián)分析（難易度-高）（續(xù)）4、安全響應的“必修課”（續(xù)）場景二：針對高危資產(chǎn)的入站HTTP

payload告警，例如weblogic反序列化漏洞序號關聯(lián)元素關聯(lián)項目關聯(lián)項類型目的1SIP該SIP在威脅情報廠商上的信息。情報豐富情報信息。2DIPDIP服務器上的資產(chǎn)、版本及其漏洞信息內(nèi)部資產(chǎn)+漏洞信息判斷DIP上的資產(chǎn)及其版本是否與本次疑似攻擊所利用的資產(chǎn)一致，以及是否存在本次疑似攻擊所利用的漏洞。3SIP該SIP的HTTP請求及其響應數(shù)據(jù)包流量查看該SIP所有的HTTP請求及其響應數(shù)據(jù)包的詳細信息。UA、COOKIE、URI、POSTDATA等。4DIPDIP服務器上的EDR反彈shell或命令執(zhí)行的告警規(guī)則類告警查看DIP機器上是否有反彈shell以及命令執(zhí)行5SIPSIP的NIDSWebshell上傳告警信息規(guī)則類告警查看NIDS上是否有該SIP的webshell上傳告警。6SIPSIP的NIDS

命令執(zhí)行告警信息規(guī)則類告警查看NIDS是否有該SIP的命令執(zhí)行告警。7DIPDIP服務器上的HIPS告警。規(guī)則類告警查看DIP上是否有惡意網(wǎng)絡行為。8SIP、DIP該SIP和DIP的歷史事件信息。事件查看歷史事件庫中是否有與該DIP和SIP相關的事件。（5）自動化關聯(lián)分析（難易度-高）（續(xù)）4、安全響應的“必修20（5）自動化關聯(lián)分析（難易度-高）（續(xù)）4、安全響應的“必修課”（續(xù)）場景三：EPP告警序號關聯(lián)元素關聯(lián)項目關聯(lián)項類型目的1惡意文件HASH惡意文件HASH的多引擎掃描結果情報豐富情報信息。2IP該IP服務器上所有進程的nessus多引擎掃描結果。Malware檢測結果。3IP、進程名該IP服務器上惡意文件對應的相關進程的行為、網(wǎng)絡連接、注冊表等原始日志分析相關進程的行為。4IP該IP服務器的EDR告警規(guī)則類告警查看該服務器上是否有其他惡意進程告警5IP該IP服務器的出站的情報類告警情報查看該服務器是否有惡意出站訪問。6IP該IP服務器的HIPS告警規(guī)則類告警查看該服務器是否有橫向的惡意訪問。7IP人工：使用THRECON對該服務器取證規(guī)則類告警獲取該服務器的用戶和組、進程、服務、注冊表、網(wǎng)絡行為、任務計劃、日志以及補丁等必要信息，以便進行人工分析和判定。8IP、惡意文件HASH該IP和惡意文件HASH的歷史事件信息。事件查看歷史事件庫中是否有與該IP和惡意文件HASH相關的事件。（5）自動化關聯(lián)分析（難易度-高）（續(xù)）4、安全響應的“必修21（6）藍對抗演習（難易度-高）安全響應的“必修課”驗證“被動”防御設施的有效性和薄弱點。體驗真實環(huán)境攻擊，感知攻擊過程，借助流量、日志分析發(fā)現(xiàn)“被動“防御漏掉的威脅。檢驗自身對互聯(lián)網(wǎng)資產(chǎn)的掌控程度。挖掘實質性的互聯(lián)網(wǎng)漏洞，同時驗證自有漏掃工具的有效性。摸清在響應時需要收集的日志和流量。完善應急響應流程。演習目標紅軍：人員組成：SRC+安全服務公司技術專家任務：1、策劃與編排演習。2、演習期間監(jiān)測被動防御設備上的告警信息。3、根據(jù)演習結果，優(yōu)化防御性設備上的安全策略。藍軍：人員組成：眾測平臺的精英白帽子20+任務：1、提供真實的高質量攻擊流量。2、找出具有實質性威脅的中高危漏洞。3、演習結束后協(xié)助紅軍對攻擊特征進行總結，形成IOC。（6）藍對抗演習（難易度-高）安全響應的“必修課”驗證“被動22安全響應的現(xiàn)狀和挑戰(zhàn)123456目錄安全響應“必修課”安全響應的playbook安全響應需要的數(shù)據(jù)和威脅情報的作用安全響應的支撐平臺建設終端檢測響應/EDR主要工具集安全響應的現(xiàn)狀和挑戰(zhàn)123456目錄安全響應“必修課”安全響23SYSMON介紹（windows）簡介：Sysmon是由Windows

Sysinternals，當前最新版本為V8.0下載鏈接：/en-us/sysinternals/downloads/sysmon主要功能：監(jiān)視和記錄系統(tǒng)活動，包括進程創(chuàng)建、文件創(chuàng)建、網(wǎng)絡連接等，并記錄到Windows事件日志中。安裝：sysmon–accepteula–ic:\windows\config.xml卸載：sysmon

–u更新配置文件：sysmon–cc:\windows\config.xml日志查看方法：事件查看器-應用程序和服務日志-Microsoft-Windows-sysmonSYSMON的日志類別終端檢測響應/EDR主要工具集SYSMON介紹（windows）SYSMON的日志類別終端24SYSMON一些典型的應用場景終端檢測響應/EDR主要工具集（續(xù)）檢測Powershell惡意執(zhí)行檢測惡意word文檔執(zhí)行檢測惡意網(wǎng)絡連接SYSMON一些典型的應用場景終端檢測響應/EDR主要工具集25SYSMON實踐建議1|、推薦使用SwiftOnSecurity的公版配置文件進行mod（

/SwiftOnSecurity/sysmon-config

）2、使用開源規(guī)則集（

/Neo23x0/sigma

）及自研規(guī)則集匹配日志內(nèi)容進行告警。3、實時采集，需要對各類事件做好進程過濾，以避免噪音過多。4、文件hash日志與多源威脅情報進行關聯(lián)告警5、sysmon進程的保護和監(jiān)控，日志文件及時上傳集中存儲。6、日志采集檢測規(guī)則已知，需要不斷優(yōu)化檢測機制。7、網(wǎng)絡連接日志與流量采集、IDS、出入站情報等進行關聯(lián)告警終端檢測響應/EDR主要工具集（續(xù)）SYSMON實踐建議終端檢測響應/EDR主要工具集（續(xù)）26/TonyPhipps/THReconC:\Users\$env:UserName\Documents\WindowsPowerShell\Modules\THRecon使用方法：獲取所有信息：

Invoke-THR

-Quick

-Output

c:\temp\

（收集的信息默認存儲在c:\temp目錄下）獲取主機的特定信息：

Invoke-THR

-Modules

[Module1,

Module2,

etc.]

-Outputc:\temp\例如：獲取注冊表地址信息，

Invoke-THR-Modulesregistry注意事項：1、powershell需要以管理員身份運行。2、使用前需要執(zhí)行set-executionpolicyremotesigned.3、掃描端需要powershell5.0或更高版本，被掃描端需要ps3.0或更高版本。THRecon介紹（windows）簡介：THRecon是Github上一個開源的Threat

Hunting響應工具，能夠收集端點上的信息用于事件響應、

threat

Hunting和現(xiàn)場取證。鏈接：

/TonyPhipps/THRecon安裝：git

clone終端檢測響應/EDR主要工具集THRecon收集的信息類型THRecon運行截圖/TonyPhipps/27OSQUEYRY介紹（linux）簡介：Facebook

著名開源操作系統(tǒng)檢測和監(jiān)控項目，

100%使用系統(tǒng)API實現(xiàn)，沒有使用fork

execve

，也支持windows操作系統(tǒng)。鏈接：Github：/facebook/osquery官網(wǎng)：https://osquery.io安裝：$sudorpm-ivhhttps://osquery-/centos7/noarch/osquery-s3-centos7-repo-1-0.0.noarch.rpm$sudoyuminstall

osquery$sudoserviceosqueryd

start更新配置文件：覆蓋文件（/etc/osquery/osquery.conf），并重啟服務。查詢：實時查詢接口：輸入osqueryi后執(zhí)行SQL語句進行檢索歷史日志存儲在：/var/log/osquery/osqueryd.results.log目錄下。終端檢測響應/EDR主要工具集（續(xù)）查詢方法示例：（1）查詢系統(tǒng)用戶命令：select

*fromusers;（2）查詢網(wǎng)絡連接情況命令：selectprocesses.pid,,listening_ports.port,lisselectprocesses.pid,,listening_ports.port,listening_tocol,listening_ports.addressfromlistening_portsJOINprocessesUSING(pid)limit

20;OSQUEYRY介紹（linux）終端檢測響應/EDR主要工28cpuidcrashescrontabcups_destinationscups_jobscurlcurl_certificatedevice_filedevice_firmwaredevice_hashdevice_partitionsdisk_encryptiondisk_eventsdocker_container_mountsdocker_container_portsdocker_container_statsdocker_containersdocker_image_labelsdocker_imagesdocker_networksdocker_versiondocker_volume_labelsdocker_volumesetc_hostsetc_protocolsetc_servicesevent_tapsextended_attributesfan_speed_sensorsfilefile_eventsfirefox_addonsdocker_container_networks

gatekeeperdocker_container_processesgroupshardware_eventshashhomebrew_packagesintel_me_infointerface_addresseskernel_infokernel_panicskeychain_aclskeychain_itemsknown_hostslastlaunchdlistening_portsload_averagelogged_in_usersmagicmanaged_policiesgatekeeper_approved_apmpdsfindmemory_devicesmountsnfs_sharesnvramopera_extensionsaccount_policy_data acpi_tablesad_configalfalf_exceptionsalf_explicit_authsalf_servicesapp_schemesappsapt_sourcesarp_cacheaslaugeasauthorization_mechandns_resolversisms authorizationsdocker_container_labelsauthorized_keysblock_devicesbrowser_pluginscarbon_black_infocarvescertificateschrome_extensionscpu_timedocker_info interface_details

os_versiondocker_network_labels

iokit_devicetree osquery_eventsiokit_registry osquery_extensionskernel_extensions

osquery_flagsosquery_infoosquery_packsosquery_registryosquery_schedulepackage_bompackage_install_histlaunchd_overrides

orypackage_receiptspci_devicesplatform_infoplistpower_sensorspreferencesprocess_envsprocess_eventsprocess_memory_mapprocess_open_filesprocess_open_socketsprocessesprometheus_metricspython_packagesquicklook_cacheroutessafari_extensionssandboxesshared_foldersshell_historysignaturesip_configsmbios_tablessmc_keysstartup_itemssudoerssuid_binsystem_controlssystem_infotemperature_sensorstimetime_machine_backupstime_machine_destinations uptimeusb_devicesuser_eventsuser_groupsuser_interaction_eventsuser_ssh_keysusersvirtual_memory_infowifi_networkssharing_preferenceswifi_statuswifi_surveyxprotect_entriesxprotect_metaxprotect_reportsyarayara_eventsOSQUERY日志類別osquery>SELECT*

FROM...終端檢測響應/EDR主要工具集（續(xù)）cpuidcrashescrontabdocker_29OSQUEYRY典型應用場景osquery>SELECTDISTINCT(processes.pid),,processes.path,processes.cmdline,processes.root,process_open_sockets.remote_address,process_open_sockets.remote_port,(SELECTcmdline

FROMprocessesASparent_cmdlineWHEREpid=processes.parent)ASparent_cmdlineFROMprocessesJOINprocess_open_socketsUSING(pid)LEFTOUTERJOINprocess_open_filesONprocesses.pid=process_open_files.pidWHERE(name='sh'ORname='bash')ANDremote_addressNOTIN('','::',

'')ANDremote_addressNOTLIKE'10.%'ANDremote_addressNOTLIKE

'192.168.%';檢測反彈shell終端檢測響應/EDR主要工具集（續(xù)）OSQUEYRY典型應用場景osquery>SELECT301、推薦使用Palantir的公版配置文件進行mod（

/palantir/osquery-configuration

）2、定時采集，存在瞬時狀態(tài)漏采的情況，需要合理設置配置文件的interval。3、對osquery服務的保護和監(jiān)控，日志文件及時上傳集中存儲。4、日志采集檢測規(guī)則已知，需要不斷優(yōu)化檢測機制。OSQUEYRY實踐建議終端檢測響應/EDR主要工具集（續(xù)）1、推薦使用Palantir的公版配置文件進行mod（ht311 安全響應的現(xiàn)狀和挑戰(zhàn)3456目錄安全響應“必修課”終端檢測響應/EDR主要工具集2 安全響應需要的數(shù)據(jù)和威脅情報的作用安全響應的支撐平臺建設安全響應的playbook1 安全響應的現(xiàn)狀和挑戰(zhàn)3456目錄安全響應“必修課”終端檢326、安全響應的playbook6、安全響應的playbook33安全事件響應的兩大目標：?

提高信噪比增加高保真的告警，擊敗告警疲勞，專注于真正的危險和問題?

降低MTTR固化流程，豐富場景，并持續(xù)運營，使響應時間不斷降低安全事件響應的目標6、安全響應的playbook（續(xù)）安全事件響應的兩大目標：安全事件響應的目標6、安全響應的pl34第一步：告警的分類定級和誤報篩選6、安全響應的playbook（續(xù)）第一步：告警的分類定級和誤報篩選6、安全響應的playboo35第二步：固化基本流程并豐富分場景響應劇本（playbook）安全事件響應劇本安全設備類FW類WAF類郵件沙箱類NIPS類ET

RULE類Bro類HIPS類內(nèi)網(wǎng)攻擊外網(wǎng)攻擊TI類IP類URL類DNS類HASH類EPP類Trojan類HackTool類混合類EDR類SYSMON類OSQUERY類AI類DGA類DNS隧道類外部突發(fā)事件網(wǎng)絡攻擊類高危漏洞類勒索軟件類關鍵應用類AD類網(wǎng)站類郵件網(wǎng)關類響應開始事件確認定級事件信息豐富化響應結束事件通告事件響應處理事件復盤改進事件后續(xù)review6、安全響應的playbook（