蓝队基础之网络七层杀伤链（完整版）

在Windows环境中，常见的应用和服务包括Microsoft Exchange（邮件服务器）、SharePoint（文档协作平台）和Active Directory（目录服务）。要识别这些应用和服务，可以使用网络扫描工具，如sudo nmap -PS -sV somesystem.com，来探测目标系统上开放的服务和端口。

识别Linux典型应用

在Linux环境中，OpenSSH（安全壳协议）用于远程登录和管理，Samba则用于文件和打印共享。同样，可以使用网络扫描工具来识别这些服务。

识别WEB服务

企业应用或边界设备上的WEB服务也是身份管理的重要部分。可以使用whatweb http://someweb.org等工具来识别WEB服务的类型、版本和配置信息。

识别客户端设备

在内网环境中，客户端设备的身份管理同样重要。由于管理员的疏忽或配置不当，终端设备可能会暴露在网络中。因此，需要定期扫描和识别内网中的客户端设备，以确保它们符合企业的安全策略。

核心组件

1. 账号（Account）

账号是用户在系统中的数字化载体，用于标识用户并访问受保护的资源。

2. 认证（Authentication）

确认用户身份的过程，使用各种技术如密码、生物识别技术和多因素身份验证（MFA）。

3. 授权（Authorization）

根据角色、职责和最小权限的概念，授权选择允许经过身份验证的用户的访问量和权限。

4. 应用（Application）

应用是账号、认证、授权的交互对象和载体，一般作为客体来使用。

5. 审计（Audit）

审计日志记录用户的所有操作，包括主体、操作、客体、类型、时间、地点、结果等内容。

类别

EIAM（Employee Identity and Access Management）

管理企业内部员工的身份和访问管理，解决员工使用的便捷性和企业管理的安全性相关问题。

CIAM（Customer Identity and Access Management）

管理企业外部客户/用户的身份和访问管理，解决用户数据的打通和开发成本与标准化相关问题。

云厂商IAM（Resource and Access Management, RAM）

管理企业云资源的身份和访问管理，主要用于管理云资源的访问控制。

技术实现

单点登录（SSO）

使用标准协议如SAML、OIDC等实现单点登录，降低成本，提高安全性和便捷性。

访问控制

管理应用授权范围，指定组织或人员允许访问，实现零信任应用访问。

预集成应用

提供预集成应用模板，简化对接体验，提供统一的应用门户（仪表盘）。

联通企业通讯录

与企业账户体系打通，支持批量和增量导入/导出，打通企业的身份孤岛。

统一账户管理

提供唯一的用户身份，以及完整的账户生命周期管理。

多样安全登录

一键开启多种企业常用登录方式，提供登录安全控制项。

重要性

加强安全和降低风险：通过强大的身份验证机制减少未经授权的访问、身份盗窃和数据泄露的风险。
简化业务流程，提高效率：自动化用户配置和取消配置流程，减少管理负担，节省时间，并最小化手动用户管理相关的人为错误。
提高合规性：实施严格的访问控制和维护审核跟踪来确保合规性，支持合规性审计，并简化了证明遵守监管要求的过程。
降低成本，提高生产率：自动执行用户配置和取消配置，节省成本并提高运营效率。

目录服务

LDAP（轻量级目录访问协议）

用于访问目录信息的协议，广泛应用于AD和OpenLDAP等目录服务中。
通过域集中管理，可以实现资源的集中存储和集中管理，包括组策略的应用和更新。

企业数据存储

SAN（存储区域网络）

由高速网络连接多个存储设备组成，提供高性能的数据存储和访问能力。

NAS（网络附加存储）

单个设备拥有大量存储，通过本地网络供服务器和工作站访问。

串行局域网（SoL）

协议使串行数据基于HTTPS传输，提高数据传输的安全性和可靠性。

企业虚拟化平台

常见的虚拟化平台包括VMware的vSphere和vCenter、Proxmox等。
实现资源的动态分配和优化利用，提高系统的灵活性和可扩展性。

数据湖

保存大量不同形式数据的大型存储库，结合数据分析可以为企业带来额外价值。
Hadoop是企业中常见的数据湖解决方案之一，而另一种本地解决方案是DataBricks。
基于云的大数据解决方案，如Cloudera、Google BigQuery、Oracle BigData、Amazon EMR、Azure Data Lake Storage和Azure HDInsight等。
围绕数据湖有一个完整的技术生态，提供数据摄取管道和数据分析服务。
数据湖也面临着安全风险，如Hadoop的YARN服务配置错误可能导致恶意HTTP请求攻击并获得系统命令行shell。

企业数据库

SQL数据库

常见的SQL数据库包括Oracle SQL、Microsoft SQL Server和MySQL等。

嵌入式SQL数据库

包括MariaDB、PostgreSQL和SQLite等。

非SQL数据库

包括MongoDB、Redis、Azure CosmosDB和AWS DynamoDB等，提供不同的数据存储和查询方式。

传统存储形式

共享驱动器是一种常见的资源共享方式，允许用户通过网络协议访问远程服务器上的文件和文件夹。
使用smbclient命令行工具，可以列出远程服务器上的共享资源，以及从共享资源中下载文件。
在Windows系统中，存在一些默认的共享资源，如C（所有驱动器的默认共享）、ADMIN（管理共享）和IPC$（管道，用于与其他计算机互操作的特殊连接器）。

SOC管理流程

SOC（Security Operations Center，安全运营中心）负责监控、分析和响应网络中的安全事件。
需要了解SOC如何适应ISMS（Information Security Management System，信息安全管理体系）。
ISO27001标准和NIST网络安全框架是指导企业建立运营安全程序的两个重要标准。
信息安全生命周期通常包括四个阶段：安全策略、能力设计、实施和运营。
戴明环（PDCA）是信息安全生命周期的早期表现，包括计划、做、检查和行动四个步骤。
SABSA框架则对信息安全生命周期进行了改进，将其划分为战略规划、设计、实施和管理测量四个阶段。

SOC通常分为不同的层级，每个层级负责不同的任务。例如：

L1：提供监视告警、分类和解决小问题。
L2：提供对日常事件的分析、遏制和解决。
L3：负责损失控制、深入调查和取证分析等IR（Incident Response，事件响应）事件。
L4：安全管理，负责日常、非事件相关的程序，如开设账户、访问授权审查、定期安全报告和其他主动安全程序。

网络杀伤链（Cyber Kill Chain）

网络杀伤链是由美国航空航天制造商洛克希德·马丁公司开发的一个模型，用于描述有针对性的网络攻击的各个阶段。它将网络攻击过程分解为多个阶段，每个阶段都有特定的活动和目标。通过理解和监控这些阶段，防御者可以更有效地识别和阻止攻击。

网络杀伤链的阶段

侦察（Reconnaissance）
- 攻击者收集目标系统的信息，如IP地址、操作系统类型、漏洞信息、人员组织结构等。
- 目标是了解目标系统的环境，以便更好地策划攻击。
武器化（Weaponization）
- 攻击者利用收集到的信息，创建或获取恶意负载（例如病毒、漏洞利用或定制恶意软件），并将其与传送机制（例如电子邮件附件或受损网站）相结合。
投递（Delivery）
- 攻击者通常使用社会工程技术、网络钓鱼电子邮件或利用软件或网络基础设施中的漏洞，将武器化的有效负载传递给目标。
漏洞利用（Exploitation）
- 有效负载在目标系统上执行，利用侦察阶段发现的漏洞或弱点。这使得攻击者能够获得对目标网络或系统的未经授权的访问。
安装（Installation）
- 攻击者通过安装恶意软件、后门或远程访问工具在受感染的系统中建立持久存在。这使他们能够保持控制并继续他们的活动而不被发现。
命令与控制（Command and Control, C2）
- 攻击者在受感染的系统与其自己的基础设施之间建立通信通道。该通道用于控制受感染的系统、窃取数据或接收进一步的指令。
目标行动（Actions on Objectives）
- 攻击者实现了他们的最终目标，这可能是数据盗窃、破坏、间谍活动或任何其他恶意活动。

防御对策

针对网络杀伤链的每个阶段，可以采取不同的防御措施：

侦察跟踪
- 关注日常异常流量、日志和数据，建立和优化分析模型。
武器构建
- 关注资产相关漏洞、补丁、修复流程是否完备。
载荷投递
- 实施电子邮件安全策略，如垃圾邮件过滤和钓鱼攻击防护。
漏洞利用
- 定期进行系统和软件的漏洞扫描，及时应用安全补丁。
安装植入
- 使用入侵检测系统（IDS）和入侵防御系统（IPS）来监控和阻止恶意活动。
命令与控制
- 监控网络流量，寻找异常通信模式，如与已知恶意IP地址的通信。
目标达成
- 实施数据丢失防护（DLP）策略，保护敏感数据不被外泄。

网络杀伤链模型提供了一个结构化的方法来理解和防御网络攻击，通过在攻击链的早期阶段进行干预，可以更有效地阻止攻击，减少损失。

日志收集

涉及从各种关键日志来源收集数据，上传到SIEM（安全信息和事件管理）系统。
在Windows系统中，可以使用事件日志收集和转发机制来获取日志数据。
在Linux系统中，则通常使用syslog来收集和聚合日志，并将其转发到指定的日志收集器。

日志搜索与分析

收集到的日志数据需要进行有效的搜索和分析，以便及时发现潜在的安全威胁。
Splunk等日志管理工具提供了强大的日志收集、存储、搜索、分析和可视化功能。
SIEM系统能够关联日志与活动，识别可疑内容。

监控告警

网络安全响应的重要组成部分，告警可以来自SIEM系统或直接来自传感器实时告警系统。
事后告警系统，如AIDE（监视系统文件的修改）等，也可以提供重要的安全信息。

事件响应

网络安全管理的关键环节，涉及分析评估、数字取证分析等。
L2级分析师在收到L1级的工单后，会进行分析评估，并进行相应的事件响应流程。

Cyber Hunting（网络狩猎）

网络狩猎，也称为威胁狩猎（Cyber Threat Hunting），是一种主动的网络安全防御活动。它涉及到主动且持续地搜索网络中的潜在威胁和攻击，以检测和隔离现有安全解决方案可能遗漏的高级威胁。以下是网络狩猎的详细介绍：

定义

网络狩猎是一种基于证据数据的搜查活动，它与传统的威胁管理措施（如防火墙、入侵检测系统IDS、恶意软件沙箱和SIEM/SOC系统）形成对比。网络狩猎不仅仅是对已知威胁的响应，而是主动寻找可能存在的未知威胁。

基本模式

网络狩猎通常从建立一个“假设”开始，这个假设可能是基于以下三种模式之一：

分析驱动（Analytics-Driven）：利用机器学习（ML）、用户实体行为分析（UEBA）等技术开始威胁狩猎。
情境意识驱动（Situational-Awareness Driven）：利用MITRE公司的皇冠宝石分析法（Crown Jewels Analysis，CJA）和组织风险评估等开始威胁狩猎。
威胁情报驱动（Intelligence-Driven）：利用威胁情报报告、威胁情报反馈、恶意软件分析、漏洞扫描等开始威胁狩猎。

安全模型

网络狩猎安全模型提出了组织的猎杀能力的五个不同类别：起步(Initial)、基础(Minimal)、流程化(Procedural)、创新(Innovative)和领先(Leading)。这个模型强调威胁狩猎是一个处理过程，组织应该尝试最大限度地收集数据，有效地分析数据，然后适当地利用他们的分析人员。

技术与工具

网络狩猎者使用多种工具和技术，包括但不限于：

SIEM（安全信息和事件管理）：通过实时分析从多个源收集数据，为威胁狩猎者提供有关潜在威胁的线索。
EDR（终结点检测和响应）：帮助预防其他自动化安全工具可能未检测到的攻击并进行补救。
XDR（扩展检测和响应）：集成了多种安全技术，以提供更全面的威胁检测和响应能力。
威胁情报平台：提供有关当前或潜在威胁的信息，帮助安全分析人员发现可疑活动。

过程

网络狩猎的过程包括：

建立假设：基于对资产的了解和全网威胁情报，对可能出现的高风险资产遭受的攻击进行假设。
数据收集：根据假设，收集相关的数据。
测试假设并收集信息：收集数据后，根据行为，搜索查询来查找威胁。
自动化某些任务：某些狩猎任务可以自动化，但威胁搜寻不能完全自动化。
实施威胁搜寻：执行搜寻程序，以便连续进行威胁搜寻。

发展趋势

网络狩猎作为一种安全的积极防御体系，利用威胁情报进行反击。随着云计算的普及，云狩猎能力建设成为未来威胁狩猎发展的一个重要趋势。同时，无文件攻击等新型攻击手段的出现，也要求威胁狩猎技术不断更新和升级。

网络狩猎的核心价值在于能够确认环境中存在敌手、提供黑客未入侵成功的证明、检验安全防护体系的有效性、发现未知的基础设施、应用程序和数据存储，以及发现组织新兴技术中存在的问题。通过这种主动防御的方式，组织可以更有效地识别和应对复杂的网络威胁。

威胁情报

威胁情报是网络安全管理的重要组成部分。妥协指标（IOC）是用于识别恶意软件或恶意活动的签名，通常以文件名和哈希值的形式提供。考虑到新威胁信息的规模，手动获取和记录威胁情报已不再可行。因此，自动化威胁管理变得尤为重要。MITRE开发了结构化威胁信息表达（STIX）和可信智能信息自动交换（TAXII）协议，以实现威胁信息的自动提供和摄取。这些协议允许自动获得威胁情报，并将其输入IDS、SIEM等工具，从而实现威胁情报的近乎实时更新，以确保击败已知威胁。此外，AlienVault OTX等开放威胁交换服务也提供了手动访问危害指标的功能。

安全管理

安全管理是一组确保公司业务安全的日常流程。它涵盖了多个方面，包括身份管理（IAM）、访问控制、特权管理（PAM）、媒体消毒、人事安全、证书管理以及远程访问等。IAM是任何安全程序的基础，也是黑客攻击的主要目标。访问控制需要配置和验证用户访问系统的权限，并制定审计规则。PAM系统使非特权用户能够请求特权访问，以提升权限。媒体消毒涉及在生命周期结束时对敏感数据进行安全清理和销毁。人事安全是公认的业务安全程序之一。证书管理对于维护PKI架构的完整性至关重要。而后疫情时代，远程访问已成为攻击的重点，因此需要加强对其的安全管理。

零信任网络

在2010年谷歌遭受极光行动网络攻击之后，其内部网络管理方式发生了深刻变革，并创造了“零信任”一词，用以描述一种始终假设内部网络可能已被破坏的运行方式。这种全新的安全理念在NIST特别出版物800-207:零信任架构中得到了正式确立，并现已成为所有美国政府机构必须强制实施的安全标准。

零信任架构的核心在于其四个关键特征：

即时访问（Just-In-Time Access, JITA）：用户或服务在需要时才被授予访问权限，且权限具有时效性，一旦任务完成或时间过期，权限即被收回。只需足够的访问权限（Least Privilege Access, LPA 或 JEA, Just Enough Access）：用户或服务仅被授予完成特定任务所需的最小权限集，以减少潜在的安全风险。动态访问策略：访问控制策略根据用户身份、设备状态、位置、时间等多种因素动态调整，以适应不断变化的安全环境。微观分割：将网络划分为多个小型的、相互隔离的安全区域，以限制攻击者在网络内的横向移动能力。安全和基础设施

在构建零信任网络的同时，还需关注以下安全和基础设施方面的要素：

数据备份/恢复：作为重要的运营技术，数据备份在发生灾难或攻击事件时，是恢复业务连续性和数据完整性的关键安全资产。变更管理：安全策略需要与系统的变化过程紧密关联，确保在提交变更前已充分评估风险，并制定详细的变更管理计划，包括推出计划、回滚计划、影响评估和依赖关系清单。管理物理环境：数据中心环境的物理和电子安全同样重要，包括物理访问控制、机房环境监控（如功率、温度、气压等）。事件响应

有效的事件响应机制是零信任网络不可或缺的一部分。事件管理生命周期通常包括以下几个阶段：

准备：了解系统及现有控制措施，通过培训和演练提高组织的应急响应能力。响应：识别安全事件、进行调查、采取行动以响应事件并恢复业务服务。后续：事后进一步调查、形成报告、总结经验教训，并据此改进安全流程和策略。

安全和基础设施

数据备份/恢复

数据备份和恢复是重要的运营技术，它们在发生灾难或攻击事件时，成为恢复业务连续性和数据完整性的关键安全资产。有效的数据备份策略包括：

定期和自动备份：实施定期的数据备份，确保数据的完整性和可用性。
灾难恢复计划：制定详细的灾难恢复计划，包括数据恢复、系统恢复和业务连续性计划。

变更管理

变更管理是安全策略与系统变化过程紧密关联的重要组成部分。它确保在提交变更之前已经正确评估了风险，并制定详细的变更管理计划，包括：

推出计划：规划如何实施变更，包括所需资源、时间表和责任分配。
回滚计划：如果变更失败或产生不良影响，制定回滚策略以恢复到变更前的状态。
影响评估：评估变更可能对业务和系统的影响，确保变更的合理性和必要性。
依赖关系清单：识别变更所依赖的其他系统或组件，以及可能受到变更影响的系统或组件。

管理物理环境

管理数据中心环境涉及物理和电子安全，包括：

物理访问控制：限制对数据中心的物理访问，确保只有授权人员才能进入。
机房环境监控：监控机房环境，如功率、温度、气压等，以确保设备在适宜的条件下运行。
防护设备：采取措施防止火灾、水害、极端温度/湿度、灰尘和电击等可能对设备造成损害的风险。

事件响应

事件响应（Incident Response, IR）是组织针对网络安全事件的检测、响应和恢复的一系列流程和技术。以下是事件响应的关键组成部分和步骤：

1. 事件响应目标

事件响应的目标是在网络攻击发生之前进行防御，并尽可能地减少因任何网络攻击造成的成本和业务中断。

2. 事件响应计划（IRP）

事件响应计划是组织内部定义的流程和技术，用于识别、遏制和解决不同类型的网络攻击。有效的IRP可以帮助网络事件响应团队检测和遏制网络威胁，恢复受影响的系统，并减少收入损失、监管罚款和其他成本。

3. 事件响应团队（CSIRT/CIRT/CERT）

事件响应团队是负责执行事件响应计划的跨职能人员构成的团队，包括IT、安全分析、威胁调查、管理层、人力资源、法律顾问和公关专员等。

4. 事件响应生命周期

事件响应生命周期通常包括以下六个阶段：

准备阶段

准备发生在确定事故之前，包括定义组织将什么视为事故，以及防止、检测、消除攻击和从攻击中恢复所必需的所有策略和程序。

识别阶段

识别威胁是运用人类分析人员和自动化工具来识别哪些事件是需要处理的真正威胁的一个过程。

遏制阶段

遏制威胁是团队采取来隔离威胁并防止威胁感染业务的其他方面的行动。

根除阶段

一旦威胁得到遏制，团队就会继续全面修复并从系统中彻底消除威胁。

恢复阶段

恢复和复原包括重启系统和计算机并还原已丢失的任何数据。

反馈和改进阶段

反馈和改进是团队执行来从事故中发现教训并将学到的教训应用于策略和程序的过程。

5. 事件响应技术

事件响应技术包括但不限于：

攻击面管理（ASM）
端点检测和响应（EDR）
安全信息和事件管理（SIEM）
安全编排、自动化和响应（SOAR）
用户和实体行为分析（UEBA）
扩展检测和响应（XDR）

6. 事件响应自动化

事件响应自动化运用AI和机器学习来会审警报、识别事故，并执行基于编程脚本的响应playbook来根除威胁。

7. 事件响应解决方案

组织可以利用SIEM和SOAR解决方案（例如Microsoft Sentinel）来帮助识别和自动响应事故。资源较少的组织可以在服务提供商的帮助下增强其团队。

8. 事件响应的重要性

事件响应是网络安全管理的关键环节，它不仅有助于减少安全事件的影响，还能够提升组织对网络威胁的检测和响应能力，保护关键信息基础设施的安全，维护数字经济的稳定发展。

SABSA多层控制策略

SABSA（Sherwood Applied Business Security Architecture）多层控制策略是一种全面安全框架，旨在通过多层次、多策略的方法来管理和缓解风险。这种策略强调了不同控制措施之间的协同作用，以确保在不同层次上提供有效的安全保护。以下是SABSA多层控制策略的详细介绍：

核心概念

SABSA多层控制策略基于以下几个核心概念：

风险管理：识别、评估和管理风险是SABSA框架的核心。
业务驱动：安全措施必须与企业的业务目标保持一致，确保安全投资能够带来商业价值。
分层结构：通过分层的方式，SABSA提供了一个从宏观到微观的视角，帮助组织在不同层级上理解和实施安全策略。
灵活性：SABSA提供了一种灵活的方法，可以根据组织的具体需求进行定制和调整。

层次结构

SABSA框架的层次结构包括：

背景层（Contextual Layer）：定义企业的业务环境、风险偏好、法律和合规要求等。
概念层（Conceptual Layer）：定义安全策略的基本原则和概念，包括安全策略的目标、关键的安全服务等。
逻辑层（Logical Layer）：详细描述了如何通过具体的技术和服务来实现概念层中的安全策略。
物理层（Physical Layer）：描述了实际的技术实现细节，包括硬件、软件配置、网络拓扑等。
组件层（Component Layer）：详细说明了各个安全组件的配置和参数设置，如防火墙规则、入侵检测系统的配置等。

控制策略

SABSA多层控制策略包括以下几个层次的控制措施：

威慑（Deterrence）：通过安全措施来威慑潜在的攻击者，使他们认为攻击成本过高或成功的可能性太低。
预防（Prevention）：采取措施防止攻击发生，如防火墙、入侵防御系统等。
检测（Detection）：监控和检测潜在的攻击或异常行为，以便及时响应。
遏制（Containment）：在检测到攻击后，采取措施限制攻击的影响范围，防止攻击扩散。
响应（Response）：对安全事件进行响应，包括事件调查、影响评估和恢复计划。
恢复（Recovery）：在攻击后恢复业务操作，包括数据恢复和业务连续性计划。

实施步骤

实施SABSA多层控制策略的步骤包括：

需求分析：理解企业的业务目标和安全需求。
风险评估：识别和评估潜在的安全风险。
架构设计：根据需求和风险评估结果设计安全架构。
实施：部署安全技术和流程。
监控与维护：持续监控安全状态，定期更新和优化安全措施。

结论

SABSA多层控制策略提供了一种结构化的方法来设计和实施信息安全策略，确保企业能够以一种全面、分层和灵活的方式管理风险。通过在不同层次上实施控制措施，SABSA帮助组织构建一个强大的防御体系，以抵御各种安全威胁。

CREST事件管理模型

CREST事件管理模型概述

CREST（Computer Security Incident Handling Capability Maturity Model）模型是一种评估和改进组织对安全事件响应能力的框架。它包括以下几个关键阶段：

准备（Preparation）
- 了解系统及现有控制措施。
- 通过培训和演练提高组织的应急响应能力。
识别（Identification）
- 监测和识别潜在的安全事件。
- 使用安全信息和事件管理（SIEM）系统、入侵检测系统（IDS）等工具来识别异常行为。
响应（Response）
- 识别安全事件后，迅速采取行动进行响应。
- 进行调查、隔离受影响的系统，并采取措施以遏制事件的影响。
后续（Follow-up）
- 事后进一步调查事件，形成报告。
- 总结经验教训，并据此改进安全流程和策略。

CREST模型的应用

CREST模型可以应用于不同的安全事件类别，包括但不限于：

扫描事件（Scanning Incidents）
- 涉及对IP地址和端口进行扫描的应急处理操作。
入侵事件（Intrusion Incidents）
- 对入侵尝试或成功的事件进行响应。
恶意软件事件（Malware Incidents）
- 识别和清除恶意软件，并恢复受影响的系统。
数据泄露事件（Data Breach Incidents）
- 应对数据泄露，包括识别泄露源、遏制泄露扩散和通知相关方。

CREST模型的优势

系统性：提供了一个全面的框架，覆盖了事件管理的全过程。
适应性：可以根据组织的具体需求进行定制和调整。
持续改进：强调了事件响应能力是一个持续改进的过程。

管理事件响应

1. 事件响应计划（IRP）

事件响应计划是一组指导公司检测、响应和从安全事件中恢复的指令或程序。一个精心制定的事件响应计划通常包括：

事件识别和分类：快速准确识别问题的严重性，确保所有事件都能及时得到妥善处理。
通信和升级程序：包括用于一致有效地向利益相关者传达事件的通信模板。
遏制和根除策略：旨在迅速中和威胁，防止进一步的系统损害并最小化可能的停机时间。
恢复和恢复过程：概述将受影响的系统和服务恢复到完全运行状态的具体程序，确保业务连续性。
事件后活动、分析和改进计划：通过分析每个事件，企业可以获得有关其漏洞的宝贵见解，并制定改进计划，加强防御以抵御未来事件。

2. 事件响应团队

事件响应应由具有广泛专业知识的专业人员团队处理。团队成员通常包括：

事件指挥官或响应经理：监督整个事件响应过程并协调团队努力。
DevOps团队：在其各自的领域内调查和分析事件，确定根本原因，并推荐补救措施。
运营团队：提供网络基础设施、系统管理和应用开发的专业知识，同时确保遵守相关法律法规。
IT支持团队：利用其在网络基础设施、系统管理和应用开发方面的专业知识提供解决方案，并确保运营顺畅进行。
法律顾问：确保事件响应过程符合法律和监管要求，并就潜在的法定影响提供咨询。

3. 事件响应的重要性

有效的事件响应程序可以减轻事件的运营、法律和声誉后果。它可以最小化损害、保护敏感数据、维护信任和声誉，并确保监管合规。

4. 事件响应生命周期的六个阶段

事件响应生命周期包括以下六个阶段：

准备：包括制定政策、程序和工具，确保公司能够处理事件响应。
识别：团队根据事件严重性级别检测和分类潜在安全事件。
遏制：专注于限制事件的传播和影响。
根除：识别事件的根本原因，并从环境中移除。
恢复：将系统和运营恢复到正常状态。
吸取的经验教训：确保事件响应过程的持续改进。

5. 事件响应技术

事件响应技术包括攻击面管理（ASM）、端点检测和响应（EDR）、安全信息和事件管理（SIEM）、安全编排、自动化和响应（SOAR）、用户和实体行为分析（UEBA）和扩展检测和响应（XDR）。

6. 事件响应自动化

事件响应自动化使用AI和机器学习来审查警报、识别事件，并执行基于预编程剧本的响应措施来根除威胁。

应急响应准备

1. 风险评估与威胁分析

了解技术资产：深入了解组织的技术资产、系统和数据，并明确它们对业务的重要性。
确定关键保护对象：基于风险评估结果，确定需要重点保护的关键资产。
威胁分析：通过策略、技术和实践来识别潜在的风险点，并据此制定和实施相应的控制措施。

2. 人员、流程和技术

建立团队：组建专业的应急响应团队，明确各成员的角色和责任。
配备工具：为团队提供必要的应急响应工具和设备，如日志分析工具、网络扫描器等。
制定流程剧本：针对不同类型的安全事件，制定详细的应急响应流程和剧本。
演练：定期进行应急响应演练，以提升团队的实战能力和协同效率。

3. 控制

响应手册：编制应急响应手册，明确在不同安全事件发生时应执行的标准操作程序。
事前流程规避：通过制定和执行严格的安全政策和流程，尽可能减少安全事件的发生。
事中数据支持：在事件发生时，提供必要的数据支持和分析工具，帮助团队快速定位问题。
事后备份恢复：确保有可靠的数据备份和恢复机制，以便在事件发生后能够迅速恢复业务。

4. 成熟度评估

CREST成熟度评估工具：利用CREST提供的成熟度评估工具，对组织的应急响应能力进行持续评估和改进。
流程培训+实践技能培训：结合理论培训和实践技能培训，提升团队的整体应急响应水平。

5. 应急响应手册概述

标准操作程序：该手册详细规定了在不同安全事件发生时应执行的标准操作程序，涵盖了扫描、托管威胁、入侵、可用性、信息、欺诈、恶意内容、恶意软件检测、技术诚信和盗窃等多个安全事件类别。每个类别下都包含了具体的应急处理流程和操作规范。

6. 演练与沟通

演练：通过红蓝对抗等模拟真实攻击场景的方式，锻炼团队的应急响应能力，并验证应急计划的有效性。
沟通：在应急响应过程中，及时、充分、准确的信息沟通至关重要。沟通对象包括内部员工、外部合作伙伴、客户、媒体和政府等。

应急响应手册概述

该手册详细规定了在不同安全事件发生时应执行的标准操作程序，按安全事件类别进行了分类阐述。一、各安全事件类别及相关情况（一）PB01 扫描

PB01.1 IP 地址扫描：涉及对 IP 地址进行扫描相关的应急处理操作。 PB01.2 端口扫描：针对端口扫描情况制定的应急操作流程。（二）PB02 托管威胁

PB02.1 病毒隔离：当检测到病毒时采取隔离措施的操作规范。 PB02.2 检测到登录尝试失败：针对登录尝试失败情况的应急响应步骤。 PB02.3 检测到已知漏洞：在发现已知漏洞时应执行的操作程序。（三）PB03 入侵

PB03.1 检测到入侵指示：明确在检测到有入侵迹象时的应对操作。 PB03.2 非特权帐户泄露：针对非特权帐户泄露事件的处理流程。 PB03.3 未经授权的权限提升：对于出现未经授权提升权限情况的应急措施。 PB03.4 恶意员工活动：处理员工从事恶意活动的相关操作规范。 PB03.5 管理帐户泄露：在管理帐户泄露时应采取的行动步骤。（四）PB04 可用性

PB04.1 拒绝服务 (DOS/DDOS)：应对拒绝服务攻击（包括 DOS 和 DDOS）的操作流程。 PB04.2 破坏：针对系统等被破坏情况的应急处理程序。（五）PB05 信息

PB05.1 未经授权访问信息：处理未经授权访问信息事件的操作规范。 PB05.2 未经授权修改信息：在发现未经授权修改信息时应执行的步骤。 PB05.3 数据泄露：针对数据泄露情况制定的应急措施。（六）PB06 欺诈

PB06.1 未经授权使用资源：对于未经授权使用资源这类欺诈行为的处理流程。 PB06.2 侵犯版权：处理侵犯版权欺诈事件的操作规范。 PB06.2 欺骗身份：应对欺骗身份欺诈情况的应急措施。（七）PB07 恶意内容

PB07.1 网络钓鱼电子邮件：处理网络钓鱼电子邮件的操作步骤。 PB07.2 恶意网站：针对恶意网站的应急处理程序。 PB07.3 受感染的 U 盘：在遇到受感染的 U 盘时应采取的行动。（八）PB08 恶意软件检测

PB08.1 病毒或蠕虫：针对检测到病毒或蠕虫时的应急操作流程。 PB08.2 勒索软件：处理勒索软件的相关操作规范。 PB08.3 APT：应对高级持续性威胁（APT）的应急措施。（九）PB09 技术诚信

PB09.1 网站污损：处理网站污损情况的应急操作流程。 PB09.2 DNS 重定向：针对 DNS 重定向情况制定的应急措施。（十）PB10 盗窃

PB10.1 盗窃资产：在发生资产盗窃事件时应采取的行动步骤。

这份手册通过对各类安全事件的详细分类及对应应急操作的明确，为应对不同的网络安全问题提供了较为全面的指导规范。

事件检测与响应

1. 事件检测与确认

监控和报警：通过安全监控系统、日志报警和告警等方式发现异常或有风险的行为。
事件确认：对事件预警进行核实，确认事件的具体情况，确定事件的类型、影响范围、紧急程度等。

2. 事件分类与评估

事件分类：根据事件的类型和影响程度对事件进行分类，并制定相应的响应计划。
影响评估：评估事件对业务的影响，确定事件的优先级和紧急程度。

3. 紧急响应

启动响应模式：根据响应计划，启动紧急响应模式，调集相关的人员和资源，进行紧急处理和控制事件。
遏制措施：实施短期和长期遏制策略，如隔离受影响系统、网络阻断恶意流量、应用安全补丁等。

4. 事件调查

深入调查：对事件进行深入调查，包括流量分析、日志审查、恶意样本分析等，以确定事件的根本原因。
证据收集：收集和保存相关证据，为后续的法律诉讼和内部审计提供支持。

5. 根除威胁

移除威胁：识别并移除事件的根源，包括删除恶意软件、修补漏洞、重置密码等。
系统重建：在必要时，从干净的备份中重建受影响的系统，确保威胁被完全清除。

6. 恢复与业务连续性

系统恢复：将受影响的系统和服务恢复到正常状态，确保业务连续性。
数据恢复：恢复丢失的数据，包括从备份中恢复或使用专门的数据恢复技术。

7. 事后审查与总结

事件复盘：对事件处理过程进行复盘，评估响应的有效性，总结经验教训。
改进措施：根据事后审查的结果，更新和改进事件响应计划和流程，提高未来的响应能力。

8. 演练与沟通

应急演练：定期进行应急响应演练，验证和优化事件响应计划的有效性。
沟通协调：在事件响应过程中，确保与内部团队、管理层、客户和外部机构的有效沟通。

9. 技术与工具

安全信息和事件管理（SIEM）：用于实时监控安全事件并自动执行响应工作。
端点检测和响应（EDR）：监控端点活动，检测和响应端点上的威胁。
威胁情报：提供有关当前威胁的信息，帮助识别和响应新的攻击手法。

报告与总结

1. 事件报告

目的

记录和传达：详细记录事件的发现、影响、处理措施和结果，并向相关利益相关者传达。

内容

事件详情：包括事件的时间、地点、涉及的系统和数据、检测方法和响应行动。
影响评估：事件对业务运营、财务状况和声誉的影响。
响应效果：采取的措施效果，包括成功遏制威胁和恢复服务的效率。
成本分析：事件处理和恢复过程中产生的直接和间接成本。

2. 经验教训

分析

根本原因分析：深入分析事件的根本原因，识别导致安全事件的漏洞或失误。
改进措施：基于分析结果，提出改进措施，以防止类似事件再次发生。

沟通

内部沟通：与团队成员分享经验教训，提高整个组织的安全意识和响应能力。
外部沟通：与行业伙伴、供应商和客户沟通，共同提高对新型威胁的认识和防御能力。

3. 改进建议

策略和政策

更新安全策略：根据事件反馈，更新安全策略和政策，以应对新出现的威胁。
加强合规性：确保所有改进措施符合相关法律法规和行业标准。

技术和流程

技术升级：投资于新的安全技术和工具，以提高检测和响应能力。
流程优化：优化事件响应流程，减少反应时间，提高效率。

4. 培训和意识提升

持续教育

培训计划：制定和实施定期的安全培训计划，确保所有员工了解最新的安全威胁和最佳实践。
意识提升：通过研讨会、工作坊和模拟演练，提高员工对安全事件的认识。

5. 文档和记录

记录保存

详细记录：保存所有事件的详细记录，包括响应行动、决策过程和结果。
审计准备：确保记录的完整性和准确性，以备内部和外部审计之需。

知识管理

知识库：建立和维护一个安全事件知识库，供未来参考和学习。
案例研究：开发案例研究，详细说明特定事件的处理过程和结果。

6. 持续改进

定期审查

性能评估：定期评估事件响应性能，确保持续改进。
反馈循环：建立一个反馈循环，将经验教训应用于未来的事件响应计划。

入侵检测与防御

Snort被许多组织用来检测和阻止网络威胁。。网络安全专业人员应理解和有能力修改其规则。可配置为IDS或IPS,根据规则做出反应
Fortinet防火墙等设备支持导入Snort规则
流量分析是发现网络攻击的重要手段发现恶意流量，被动告警和主动阻止攻击。
IDS采用带外监视的部署方式入侵防御系统(IPS)串联部署，具有主动阻止威胁的能力适合需要更快响应的场景

安装依赖包

安装DAQ数据采集库

安装内存分配器

安装配置Snort3

安装、自定义规则

对发往SHOME NET系统或子网中IP地址的任何流量发出警报

alert icmp any any-> $HOME NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event)

一、文件管理概述

在涉及网络安全监控工具（如 Snort）的文件管理中，有一系列重要的字段用于定义规则，这些规则能够帮助准确地检测和处理网络中的各类活动，并以特定方式进行告警等操作。二、各字段详细描述（一）alert

含义：该字段明确告诉 Snort 此规则是一个告警规则。当网络流量符合此规则所设定的条件时，Snort 会发出相应的告警信息，以便管理员及时知晓可能存在的异常活动。示例用法：在规则配置文件中，如 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) ，“alert” 开头就表明这是一个用于产生告警的规则。

（二）icmp

含义：用于指定要标记活动的流量类型。除了 ICMP（Internet Control Message Protocol，互联网控制报文协议）之外，还可以是 TCP（Transmission Control Protocol，传输控制协议）、UDP（User Datagram Protocol，用户数据报协议）等其他常见的网络协议。通过指定具体的协议类型，能够精准地针对特定协议的流量进行监控和规则应用。示例用法：在规则 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) 中，“icmp” 明确了此规则是针对 ICMP 协议的流量进行相关操作。

（三）any

作为源 IP 地址或 CIDR 指定：当用于指定源 IP 地址或 CIDC（无类别域间路由，Classless Inter-Domain Routing）时，“any” 表示任何地址。这意味着规则将对来自任何源 IP 地址的流量进行检测，不局限于特定的 IP 范围，从而实现对广泛来源的流量监控。示例用法：在规则 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) 中，第一个 “any” 就是指定源 IP 地址为任何地址。作为源端口指定：同样，“any” 还可用于指定要检测的源端口，即表示对任何源端口的流量进行关注。这种宽泛的指定方式有助于全面捕捉可能存在问题的流量情况，不过在某些特定需求下，也可以根据实际情况将其替换为具体的端口号以实现更精准的监控。示例用法：还是上述规则中的第二个 “any”，这里就是指定要检测的源端口为任何端口。

（四）< >（方向运算符）

含义：方向运算符 “<>” 用于指定流量方向。它标识 IP 和端口同时作为来源和目的，明确了流量是从哪里来以及要到哪里去的路径关系。通过这种方式，可以准确地界定规则所适用的流量流向情况，以便更精准地检测符合特定流向要求的流量活动。示例用法：在规则 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) 中，“->” 就是方向运算符，表明流量是从由前面 “any any” 所指定的源（任何源 IP 地址和任何源端口）流向由 “$HOME_NET any” 所指定的目标（配置文件中指定的本地网络的任何目标 IP 地址和任何目标端口）。

（五）$HOME_NET

含义：在 Snort 的配置文件中指定的本地网络。它可以通过具体的 IP 地址范围来表示，通常采用 CIDR 格式（如 192.168.0.0/16）。此外，也可以使用多个 CIDR 来更精准地界定本地网络的范围，以便根据实际需求对本地网络内的流量进行全面且精准的监控。示例用法：在规则 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) 中，“$HOME_NET” 就是指代在配置文件中已经定义好的本地网络范围，具体值需根据配置文件的设置来确定。

（六）any（指定要检测的目标端口）

含义：用于指定要检测的目标端口，同样表示任何端口。这使得规则能够对流向本地网络（由 “$HOME_NET” 指定）的任何目标端口的流量进行检测，与前面指定源端口的 “any” 配合，实现对流量在端口层面的全面监控。示例用法：在规则 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) 中，最后一个 “any” 就是指定要检测的目标端口为任何端口。

（七）msg

含义：报警名字段。用于给当网络流量符合规则时所发出的告警赋予一个特定的名称，以便管理员在查看告警信息时能够快速识别告警的大致内容和相关活动类型。这个名称应该具有一定的描述性，能够直观地反映出告警所对应的网络活动情况。示例用法：在规则 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) 中，“msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event)” 里的 “Test Ping Event” 就是报警名字段所设定的具体名称，用于标识此次告警与测试 Ping 事件相关。

（八）sid

含义：签名 ID 字段。它用于给每个规则赋予一个唯一的标识编号，取值范围通常有一定要求，一般来说，自定义报警必须大于等于 100000 且唯一。这个编号在 Snort 的规则管理和识别中起着重要作用，便于对不同规则进行区分、查询和管理。示例用法：在规则 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) 中，“sid:1000001” 就是指定的签名 ID 字段的值，表明此规则的签名 ID 为 1000001。

（九）rev

含义：规则更新时，作为版本号跟踪。当对规则进行修改、完善或更新等操作时，可以通过更新 “rev” 字段的值来记录规则的版本变化情况，以便在后续的规则管理和维护中能够清楚地了解到每条规则的演进历程，对于排查问题、分析规则效果等方面都具有重要意义。示例用法：在规则 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) 中，“rev:1” 就是指定的规则更新时的版本号，表明此规则当前的版本为 1。

（十）classtype

含义：Snort 有一个默认类型列表，可以帮助分类告警，便于搜索特定类型的活动。通过将规则的告警归类到不同的类型中，能够更高效地对大量告警信息进行筛选、分析和处理，使得管理员可以根据特定类型的活动快速定位和处理相关告警，提高网络安全监控和管理的效率。示例用法：在规则 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) 中，“classtype:icmp-event” 就是指定将此次告警归类到 “icmp-event” 这种类型中，以便后续根据该类型进行相关操作。

通过对这些字段的准确理解和合理运用，能够在 Snort 等网络安全监控工具的文件管理中，更加精准地定义规则，实现对网络活动的有效监控和管理。

一、本地账号与 Snort 条件子句概述

在网络安全监控领域，特别是涉及到本地账号相关活动的监控时，Snort 作为一款常用的网络入侵检测系统（NIDS），可通过设置特定的条件子句来检测各种异常情况。当满足或不满足这些设定的条件时，相应的触发子句就会被执行，从而实现对潜在安全威胁的告警或其他处理操作。二、具体 Snort 条件子句示例及解释（一）检查失败的 telnet 登录尝试

规则语句：alert tcp $HOME_NET 23 -> any any (msg:"Failed login attempt"; content:"Login incorrect"; sid:1000002; rev:1; classtype:attempted-user;) 详细解释：协议及源目标设定： alert tcp：表明这是一个针对 TCP 协议的告警规则。Snort 会对符合后续条件的 TCP 协议流量进行监测并在满足条件时发出告警。 $HOME_NET 23：这里指定了源网络，$HOME_NET 通常是在 Snort 配置文件中定义好的本地网络范围（如以 CIDR 格式表示的某个 IP 地址段），23 是 Telnet 服务所使用的端口号。这表示规则关注的是从本地网络的 Telnet 端口发出的流量。 -> any any：方向运算符，表明流量是从前面指定的源（本地网络的 Telnet 端口）流向任何目标 IP 地址和任何目标端口。告警信息及分类相关： msg:"Failed login attempt"：msg 字段用于设置告警名字，在此处将告警命名为 “Failed login attempt”，以便管理员在查看告警信息时能快速了解到该告警与 Telnet 登录失败尝试相关。 content:"Login incorrect"：content 字段用于指定在监测的流量中要查找的特定内容。在这里，当 Snort 在 TCP 流量中检测到包含 “Login incorrect” 这个字符串时，就会认为可能发生了 Telnet 登录失败的情况。 sid:1000002：sid 是签名 ID 字段，给这条规则赋予了一个唯一的标识编号 1000002。按照规定，自定义报警的sid 值通常要大于等于 100000 且唯一，方便在众多规则中对该规则进行区分和管理。 rev:1：rev 字段在规则更新时作为版本号跟踪。这里设置为 1，表示该规则当前的版本是 1，当后续对该规则进行修改等操作时，可以更新这个版本号来记录规则的演进历程。 classtype:attempted-user;：classttype 字段利用 Snort 的默认类型列表对告警进行分类，将此次告警归类到 “attempted-user” 类型中，便于后续搜索特定类型的活动，比如管理员可以通过查找 “attempted-user” 类型的告警来集中查看所有与用户登录尝试相关的情况。

三、外部规则集

相关网址： Enterprise Cybersecurity Solutions, Services & Training | Proofpoint US：这是一个可能提供与网络安全相关规则或其他资源的网址，也许可以从这里获取到一些补充的规则内容、安全建议等信息，用于进一步完善对网络活动的监控和安全防护。 https://rules.emergingthreats.netopen/：同样是一个与网络安全规则相关的网址，可能提供各种新兴威胁相关的规则集，通过参考这些外部规则集，可以拓宽 Snort 的检测范围，使其能够应对更多种类的潜在安全威胁。

四、In Line 部署及阻断操作

In Line 部署：这种部署方式使得 Snort 能够直接介入到网络流量的传输路径中，而不仅仅是在一旁监测。通过 In Line 部署，Snort 可以实现对网络流量的实时处理，在检测到异常情况时能够立即采取相应的措施，而不是仅仅发出告警。阻断操作相关： D drop：这是一种阻断方式，当 Snort 检测到符合某些特定条件（比如满足某条设定的阻断规则）的流量时，会直接丢弃（drop）该流量，使其无法继续在网络中传输，从而有效地阻止了可能的恶意活动通过该流量进行传播。 sdrop：类似于D drop，也是一种用于阻断流量的操作方式，具体细节可能因不同的实现环境或规则设置而有所差异，但总体目的也是阻止特定流量在网络中的传播。 reject：这种方式不仅会阻断（拒绝）特定流量的传输，还会向发送该流量的源端发送一个拒绝响应，告知源端其发送的流量被拒绝了。这样做一方面可以阻止恶意流量，另一方面也能让源端知道其发送的内容存在问题，在某些场景下可能更有利于维护网络的正常秩序和提示用户进行相应的修正。

通过综合运用 Snort 的条件子句设置、参考外部规则集以及采用合适的部署方式和阻断操作，可以更全面、有效地对本地账号相关活动以及其他网络活动进行监控和安全防护。

标签：威胁,管理,七层,蓝队,网络,响应,事件,完整版,any
From： https://blog.csdn.net/2401_86628519/article/details/143868148