打擊內(nèi)部跳板 - 傳統(tǒng)端點的EDR運(yùn)維實戰(zhàn)

——傳統(tǒng)端點的EDR運(yùn)維實戰(zhàn)端點安全部Log4j漏洞在EDR場景的運(yùn)維實踐02安全場景化的EDR采集03輔助決策的EDR深度檢測和精準(zhǔn)響應(yīng)EDR的典型場景應(yīng)用Log4j漏洞在EDR場景的運(yùn)維實戰(zhàn)以工作機(jī)為跳板，向內(nèi)網(wǎng)web服務(wù)器發(fā)送帶有JNDI的GET請求2以工作機(jī)為跳板，向內(nèi)網(wǎng)web服務(wù)器發(fā)送帶有JNDI的GET請求24Conti勒索軟件本地執(zhí)行釣魚郵件附件下釣魚郵件附件下載到工作機(jī)112341234其中一臺服務(wù)器被漏洞利用成功，其中一臺服務(wù)器被漏洞利用成功，通過外網(wǎng)域名下載Conti勒索軟件3Page4Page5Log4j漏洞的EDR運(yùn)維過程Log4j漏洞的EDR運(yùn)維過程程，對Web服務(wù)器上帶有l(wèi)og4j參數(shù)進(jìn)程阻斷執(zhí)行Page6以終端為跳板掃描內(nèi)網(wǎng)web服務(wù)器，掃描存在log4j漏洞的服務(wù)器24Conti勒索軟件本地執(zhí)行Log以終端為跳板掃描內(nèi)網(wǎng)web服務(wù)器，掃描存在log4j漏洞的服務(wù)器24Conti勒索軟件本地執(zhí)行釣魚郵件附件下釣魚郵件附件下載到PC112341234漏洞利用成功，連接C2服務(wù)器漏洞利用成功，連接C2服務(wù)器下載Conti勒索軟件3Page7LogLog4j漏洞的EDR運(yùn)維過程程，對Web服務(wù)器上帶有l(wèi)og4j參數(shù)進(jìn)程阻斷執(zhí)行Page8再問EDR再問EDR?海量端點治理本身就是重大漏洞和關(guān)聯(lián)分析響應(yīng)的一部分，無論傳統(tǒng)端點是否存在著這個漏洞，它都與治理關(guān)聯(lián)。?原有的單機(jī)主防加病毒引擎檢測，只能構(gòu)成威脅的識別和阻斷的基礎(chǔ)，還需要更多的上下文環(huán)境、多點間的相關(guān)數(shù)據(jù)關(guān)聯(lián)形成上層的判斷決策；?單純以保護(hù)對象為中心的視角場景覆蓋不足，從打擊內(nèi)部攻擊跳板的角度，對出站流量的攻擊識別同樣重要。Page9EDR在Log4j攻擊場景的作用安全場景化采集采集PC端點和Web服務(wù)器的進(jìn)程、網(wǎng)絡(luò)、文件等系統(tǒng)行為精準(zhǔn)溯源和響應(yīng)通過告警信息，層層抽絲剝繭，調(diào)查威脅調(diào)用鏈，快速掌握攻擊者攻擊手段，并精準(zhǔn)溯源和響應(yīng)自動關(guān)聯(lián)分析通過工作機(jī)和Web服務(wù)器的IP進(jìn)行事件關(guān)聯(lián)深度調(diào)查了解了安全事件的上下文及相關(guān)主機(jī)的賬號、進(jìn)程、軟件等信息安全場景化的EDR采集?EDR的工作對象不是特征碼，是基于主機(jī)場景的元數(shù)據(jù)化采集；?端點的元數(shù)據(jù)是海量的分散的，端點的算力是有限的?深度檢測只需要一部分線索來進(jìn)行判定Page12采集目的采集目的采集內(nèi)容采集方式采集頻率采集頻率智甲EDR的采集特色智甲EDR的采集特色??基于AV引擎的威脅信息采集對終端威脅的識別，有著重要而又直接的作用。如對文件的特征碼、向量信息采集，加殼技術(shù)利用信息，終端的補(bǔ)丁信息等，都可以為EDR的分析判定提供直接的線索。?針對隱藏進(jìn)程，基于主防是可以輕松感知和攔截的。但沒有主防技術(shù)基礎(chǔ)的EDR基本上是無法發(fā)現(xiàn)，這類多數(shù)基于應(yīng)用層信?更全面的記錄端點環(huán)境變更歷史，包括文件新增情況、進(jìn)程行為、注冊表變化等，提供?通過將攻擊事件中使用的攻擊技術(shù)映射到ATT&CK，更好的理解對手的攻擊方式。?針對攻擊手段可能留下的數(shù)據(jù)痕跡，例如用戶登錄記錄、外設(shè)文件使用記錄等息的提取，無法獲取系統(tǒng)級、驅(qū)動層的信息，但往往這些數(shù)據(jù)才是支撐分析和畫像?針對系統(tǒng)組件被惡意利用息的提取，無法獲取系統(tǒng)級、驅(qū)動層的信息，但往往這些數(shù)據(jù)才是支撐分析和畫像PowerShell調(diào)用等，加強(qiáng)數(shù)據(jù)采集。最重要的依據(jù)。輔助決策的EDR深度檢測和精準(zhǔn)響應(yīng)觀察事件觀察事件,對失陷主機(jī)進(jìn)行及時的響應(yīng)對失陷主機(jī)進(jìn)行及時的響應(yīng)/document/3997133?ref=solrIm系統(tǒng)應(yīng)用日志安全資產(chǎn)數(shù)據(jù)主機(jī)性能數(shù)據(jù)用戶行為系統(tǒng)應(yīng)用日志安全資產(chǎn)數(shù)據(jù)主機(jī)性能數(shù)據(jù)用戶行為?只有1%的事件才會形成告警，要提高告警的準(zhǔn)確度，減少安全人員的運(yùn)維精力；?提供一個基于安全場景的變化關(guān)系，時間窗口內(nèi)上下文數(shù)據(jù)以及多點間的數(shù)據(jù)分布為基礎(chǔ)的告警內(nèi)容，以進(jìn)行更深度的判斷和預(yù)測?日志對安全事件定位、安全策略實施狀況的評估都是必不可少的證據(jù)。?EDR應(yīng)對端點日志的告警，有明確的統(tǒng)一的結(jié)構(gòu)化的告警格式、告警等級；多數(shù)據(jù)源多終端習(xí)模型構(gòu)建正常的行為基線并持續(xù)更新，自適應(yīng)Page20進(jìn)安全運(yùn)維人員決策過程——響應(yīng)進(jìn)安全運(yùn)維人員決策過程——響應(yīng)?安天智甲支持細(xì)粒度響應(yīng)動作?安天智甲支持可視化預(yù)編排響應(yīng)腳本安天ARR(AntiyResponse安天ARR(AntiyResponseRule)開放式處置規(guī)則定4.重命名注冊表項/值4.重命名文件4.掛起指定模塊線程4.下發(fā)powershell腳本并運(yùn)行4.補(bǔ)丁修復(fù)EDR的典型場景應(yīng)用Page22反病毒、主動防御能力和EDR墻Page23預(yù)防防護(hù)檢測調(diào)查取證響應(yīng)運(yùn)營?預(yù)防防護(hù)檢測調(diào)查取證響應(yīng)運(yùn)營?漏洞補(bǔ)丁管理?配置核查?流量管控?元數(shù)據(jù)采集?主動防御?勒索防護(hù)?虛擬補(bǔ)丁防護(hù)?應(yīng)用控制?行為分析?異常檢測?