24年Q3书单更新

0x00 如题

记录Q3阅读过的有价值的文章。

(大半夜整理文章，一个ctrl+z再发布，好多东西不见了，写文章的时候本地备份也删了，找不到了，就这样把，下次注意点！！！)

0x01 文章

https://gemini.google.com/ 需要fq gpt

0x02 红队文章

1.查询管理员账户

get-aduser -filter {AdminCount -eq 1} -prop * |select name,created,passwordlastset,lastlogondate  

 AdminCount -eq 1 这个属性是一个标志位，用于指示用户账户是否是管理员账户

2.红蓝对抗之Windows内网渗透 - 博客 - 腾讯安全应急响应中心

3.域控被突破的几种途径-腾讯云开发者社区-腾讯云

4.PHP CGI Windows平台远程代码执行漏洞（CVE-2024-4577）分析与复现-腾讯云开发者社区-腾讯云

5.内网协议NTLM之内网大杀器CVE-2019-1040漏洞-腾讯云开发者社区-腾讯云    Q: 只要有这个bug就可以发起认证窃取机器hash吗

6.

横向移动-IPC

横向移动-IPC - SecPulse.COM | 安全脉搏

连接到网络共享并使用指定的用户名和密码并映射为本地驱动器

net use Z: \\server\share /user:username password

0x03 安全产品

1.微软XDR

什么是 Microsoft Defender XDR？ - Microsoft Defender XDR | Microsoft Learn

Microsoft 365 Defender  合并事件队列、自动响应/阻断、威胁分析、修复设备/邮件、跨产品搜寻威胁 体系结构 | Microsoft Defender for Identity - Microsoft Defender for Identity | Microsoft Learn

Defender for O365 : Exchange Online Protection
Identity : Azure AD、 AD FS、 AD   
Endpoint : win、ios、android、os
Cloud Apps : 云应用流量
Azure AD 标识保护：
 

访问网站 http://security.microsoft.com/ 用企业账户登录提示：此帐户可能不存在，也可能未同步。若要添加或同步此帐户，请联系你的管理员。(需要企业管理员批准，并且购买了该服务)   1.有license
2.管理员允许 (否则 只读/访问不了)

0x04 安全运营

1.Splunk+蜜罐+防火墙=简易WAF_TinyMind 

https://www.tinymind.net.cn/articles/d134ec6b229461

2.

paloalto防火墙接口使用方法及实例

3.开启iis日志

https://zhuanlan.zhihu.com/p/559894271

iis日志 处理：
:%s/.*192.168/192.168/g
:%s/0 0.*/0 0/g
grep -E "*.aspx.*200 0" u_ex230904.log|sort|uniq

4.splunk_app_infrastructure    查询 AD agent状态

5.第四章 权限提升分析及防御_trustedinstaller权限和system权限-优快云博客

6.通过Splunk Add-on将日志投递到Splunk_日志服务(SLS)-阿里云帮助中心

7.Office 365 管理 API 概述 | Microsoft Learn

8.Troubleshoot Active Directory Federation Services with events and logging | Microsoft Learn

9.ip地址封堵查询 （多地ping）

Ping查询_专业精准的IP库服务商_IPIP
116.246.38.209  

10.安全网站&AD audit工具

Active Directory Auditing Tool | ManageEngine ADAudit Plus

11.北美中部时间与北京时间换算 -- TimeBie  世界时区转换器

12.wireshark 抓取 https

wireshark 抓取 https-优快云博客

https://www.cnblogs.com/zhaooo/p/13991872.html

echo "%SSLKEYLOGFILE%"
D:\ssl_key\ssllog.log
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --ssl-key-log-file=%SSLKEYLOGFILE%

13.什么是RTO和RPO

https://zhuanlan.zhihu.com/p/574489916

14.splunk 优化搜索

Optimizing search - Splunk Lantern

15.sccm Configuration Manager 中使用的端口

用于连接的端口 - Configuration Manager | Microsoft Learn

16.Indexes, indexers, and indexer clusters - Splunk Documentation

17.

[翻译]网络安全分析之 SMB 协议

[翻译]网络安全分析之 SMB 协议-外文翻译-看雪-安全社区|安全招聘|kanxue.com

18.

Get-EventLog -LogName System -ComputerName Server01

Get-EventLog (Microsoft.PowerShell.Management) - PowerShell | Microsoft Learn

0x05 培训课程/优秀博客

网络安全之GCIH(GIAC认证事件应对专员)