蓝队基础之网络七层杀伤链 （二）完结

# 学习视频笔记均来自B站UP主" 泷羽sec",如涉及侵权马上删除文章

仅用于学习参考，不要越过法律红线

一.有关安全的一些方面

1）日志收集

       日志收集是网络安全监控的基础，它涉及从各种关键日志来源收集数据。 这些来源包括但不限于代理服务器、邮件服务器、Web 服务器、数据库、身份 认证服务器、防火墙、路由器和交换机，以及应用程序服务器和工作站。

       为了有效地收集这些日志，需要配置日志源生成日志，并将其转发给日志 收集器，然后上传到 SEM（安全信息和事件管理)系统。

       在 Windows 系统中，可以使用事件日志收集和转发机制来获取日志数据。 而 Linux 系则通常使用 sys1og 来收集和聚合日志，并将其转发到指定的日志收 集器。此外，随着联网技术的发展，楼宇管理和工控网络日志也成为了重要的 日志来源，这些系统现在通常连接到企业网络，并可能成为攻击者的主要目标。

➢ 日志搜索与分析

     收集到的日志数据需要进行有效的搜索和分析，以便及时发现潜在的安全 威胁。Splunk 等日志管理工具提供了强大的日志收集、存储、搜索、分析和可 视化功能。此外，SIEM 系统能够关联日志与活动，识别可疑内容，而 Splunk 也可以作为 SIEM 解决方案之一。

2）监控告警

       监控告警是网络安全响应的重要组成部分。告警可以来自 SIEM 系统，但也 可以直接来自安装在系统和网络中的传感器实时告警系统，如 IDS（入侵检测 系统）设备。此外，事后告警系统，如 AIDE（监视系统文件的修改）等，也可 以提供重要的安全信息。在某些情况下，事件可能不会从日志或警报中触发， 例如攻击者更改了用户密码后，用户可能会直接联系管理员进行通告 

3）事件响应

       事件响应是网络安全管理的关键环节。L2 级分析师在收到 L1 级的工单 后，会进行分析评估，并进行相应的事件响应流程。数字取证分析是网络安全 的一个专门领域，通常由 L3 级分析师处理。他们会对内存、硬盘等存储设备以 合法方式进行取证，以保护数据的完整性。 

4）Cyber Hunting（网络狩猎）

       网络狩猎是 SOC（安全运营中心）L3 级分析师的一门新兴学科。它假设网 络已被渗透，通过主动寻找恶意软件（或入侵者），争取在攻击造成损失之前发 现。网络狩猎需要寻找一系列指标，以还原网络攻击时间线。

       MITRE ATT&CK 框架是网络威胁猎人的一个关键资源，它提供了攻击者行为 方式及其使用工具的信息，有助于发现攻击痕迹。网络威胁搜寻需要非常了解 正常状态，并能够识别入侵和异常活动。 

5）威胁情报

       威胁情报是网络安全管理的重要组成部分。妥协指标（IOC）是用于识别恶 意软件或恶意活动的签名，通常以文件名和哈希值的形式提供。考虑到新威胁 信息的规模，手动获取和记录威胁情报已不再可行。因此，自动化威胁管理变 得尤为重要。MITRE 开发了结构化威胁信息表（STIX）和可信智能信息自动 交换（TAXII）协议，以实现威胁信息的自动提供和摄取。这些协议允许自动获 得威胁情报，并将其输入 IDS、SIEM 等工具，从而实现威胁情报的近乎实时更新，以确保击败已知威胁。此外，AlienVault OTX 等开放威胁交换服务也提供 了手动访问危害指标的功能。  

6）安全管理  

       安全管理是一组确保公司业务安全的日常流程。它涵盖了多个方面，包括 身份管理（IAM）、访问控制、特权管理（PAM）、媒体消毒、人事安全、证书管 理以及远程访问等。

       IAM 是任何安全程序的基础，也是黑客攻击的主要目标。访问控制需要配 置和验证用户访问系统的权限，并制定审计规则。PAM 系统使非特权用户能够 请求特权访问，以提升权限。媒体消毒涉及在生命周期结束时对敏感数据进行 安全清理和销毁。人事安全是公认的业务安全程序之一。证书管理对于维护 PKI 架构的完整性至关重要。而后疫情时代，远程访问已成为攻击的重点，因 此需要加强对其的安全管理。

7）零信任网络

      在 2010 年谷歌遭受极光行动网络攻击之后，其内部网络管理方式发生了深 刻变革，并创造了“零信任”一词，用以描述一种始终假设内部网络可能已被 破坏的运行方式。这种全新的安全理念在 NIST 特别出版物 800-207:零信任架 构中得到了正式确立，并现已成为所有美国政府机构必须强制实施的安全标 准。 

➢ 零信任架构的核心在于其四个关键特征：

      即时访问（Just-In-Time Access, JITA）：用户或服务在需要时才被授予 访问权限，且权限具有时效性，一旦任务完成或时间过期，权限即被收回。

     只需足够的访问权限（Least Privilege Access, LPA 或 JEA, Just Enough Access）：用户或服务仅被授予完成特定任务所需的最小权限集，以减 少潜在的安全风险。

     动态访问策略：访问控制策略根据用户身份、设备状态、位置、时间等多 种因素动态调整，以适应不断变化的安全环境。

      微观分割：将网络划分为多个小型的、相互隔离的安全区域，以限制攻击 者在网络内的横向移动能力。  

➢ 安全和基础设施

     在构建零信任网络的同时，还需关注以下安全和基础设施方面的要素：  

      数据备份/恢复：作为重要的运营技术，数据备份在发生灾难或攻击事件 时，是恢复业务连续性和数据完整性的关键安全资产。

      变更管理：安全策略需要与系统的变化过程紧密关联，确保在提交变更前 已充分评估风险，并制定详细的变更管理计划，包括推出计划、回滚计划、影 响评估和依赖关系清单。

      管理物理环境：数据中心环境的物理和电子安全同样重要，包括物理访问 控制、机房环境监控（如功率、温度、气压等）。  

二.事件响应

      有效的事件响应机制是零信任网络不可或缺的一部分。事件管理生命周期 通常包括以下几个阶段：

      准备：了解系统及现有控制措施，通过培训和演练提高组织的应急响应能 力。

      响应：识别安全事件、进行调查、采取行动以响应事件并恢复业务服务。

      后续：事后进一步调查、形成报告、总结经验教训，并据此改进安全流程 和策略。

➢ SABSA 多层控制策略

      SABSA（Sherwood Applied Business Security Architecture）多层控制 策略提供了一种全面的安全框架，包括威慑、预防、遏制、检测和通知恢复等 多个层次的控制措施。管理事件响应的方法：

      NIST 特别出版物 800-61:计算机安全事件处理指南提供了一种标准化的事 件响应方法，包括检测和分析、遏制、根除和恢复以及事件后活动等阶段。此 外，PDCA（Plan-Do-Check-Act）循环也被广泛应用于事件响应生命周期的优化 和持续改进中。

➢ 应急响应准备

     在构建全面的应急响应体系时，我们需要从多个维度进行准备，包括但不 限于风险评估、威胁分析、人员、流程和技术配置，以及持续的控制和成熟度 评估。

➢ 风险评估与威胁分析

     风险评估：深入了解组织的技术资产、系统和数据，并明确它们对业务的 重要性，从而确定关键保护对象。

     威胁分析：通过策略、技术和实践来识别潜在的风险点，并据此制定和实 施相应的控制措施。

➢ 人员、流程和技术

      建立团队：组建专业的应急响应团队，明确各成员的角色和责任。

      配备工具：为团队提供必要的应急响应工具和设备，如日志分析工具、网 络扫描器等。 制定流程剧本：针对不同类型的安全事件，

      制定详细的应急响应流程和剧本。

      演练：定期进行应急响应演练，以提升团队的实战能力和协同效率。

➢ 控制

      响应手册：编制应急响应手册，明确在不同安全事件发生时应执行的标准 操作程序。

      事前流程规避：通过制定和执行严格的安全政策和流程，尽可能减少安全 事件的发生。

      事中数据支持：在事件发生时，提供必要的数据支持和分析工具，帮助团 队快速定位问题。

      事后备份恢复：确保有可靠的数据备份和恢复机制，以便在事件发生后能 够迅速恢复业务。 ➢ 成熟度评估

      CREST 成熟度评估工具：利用 CREST 提供的成熟度评估工具，对组织的应 急响应能力进行持续评估和改进。

      流程培训+实践技能培训：结合理论培训和实践技能培训，提升团队的整体 应急响应水平。

➢ 应急响应手册概述

       该手册详细规定了在不同安全事件发生时应执行的标准操作程序，涵盖了 扫描、托管威胁、入侵、可用性、信息、欺诈、恶意内容、恶意软件检测、技 术诚信和盗窃等多个安全事件类别。每个类别下都包含了具体的应急处理流程 和操作规范。  

➢ 演练与沟通

      演练：通过红蓝对抗等模拟真实攻击场景的方式，锻炼团队的应急响应能 力，并验证应急计划的有效性。

      沟通：在应急响应过程中，及时、充分、准确的信息沟通至关重要。沟通 对象包括内部员工、外部合作伙伴、客户、媒体和政府等。

➢ 事件检测与响应

      事件上报：一旦发现安全事件，立即进行上报。

      系统监控与检查日志告警：利用系统监控工具和日志分析技术，及时发现 并响应安全事件。

      确定事件级别：根据事件的严重程度和影响范围，确定事件的级别。

      调查事件：对事件进行深入调查，包括溯源取证等。

      采取遏制措施：根据调查结果，采取必要的遏制措施，防止事件进一步扩大

➢ 报告与总结

      编写应急响应报告：详细记录事件的经过、处理过程和结果，以及后续的 调查计划和改进建议。

      经验总结与改进建议：对事件处理过程中的经验和教训进行总结，并提出 针对性的改进建议。 

三.入侵检测与防御

     Snort：利用 Snort 等入侵检测和防御系统，对网络流量进行实时监控和分 析，及时发现并阻止网络威胁。

     流量分析：通过流量分析技术，发现恶意流量，并采取相应的告警和阻止 措施。

     IDS 与 IPS：根据实际需求，选择合适的部署方式（带外监视或串联部 署），以实现更高效的入侵检测和防御。 

1） 安装依赖包与配置 Snort

     安装 DAQ 数据采集库：为 Snort 提供必要的数据采集支持。

     安装内存分配器：确保 Snort 在运行过程中有足够的内存资源。

     安装配置 Snort3：根据实际需求，安装并配置 Snort3，包括自定义规则等。

     自定义规则示例：如针对发往特定系统或子网中 IP 地址的任何流量发出警 报等。

➢ 文件管理概述（Snort 规则配置）

     在网络安全监控中，Snort 等工具的规则配置是关键。规则定义了如何检 测和处理网络流量，并触发相应的告警。这些规则包含多个字段，每个字段都 扮演着特定的角色，共同确保网络活动的准确监控。

➢ Snort 规则配置字段详细描述

alert

含义：指示这是一个告警规则。当流量匹配规则时，Snort 将生成告警。

示例：alert icmp any any -> $HOME_NET any (msg"Test Ping Event"; ...) icmp/tcp/udp

含义：指定要监控的协议类型（如 ICMP、TCP、UDP）。

示例：alert icmp ... 或 alert tcp ... any

作为源/目标 IP 或 CIDR：表示任意 IP 地址。

作为源/目标端口：表示任意端口。

示例：any any（任意源 IP 和端口） < >（方向运算符）

含义：指示流量的方向。

示例：-> 表示从源到目标的流量。 $HOME_NET

含义：在 Snort 配置中定义的本地网络。

示例：$HOME_NET 替代具体的 IP 范围。

msg

含义：告警的描述性名称。 

示例：msg"Test Ping Event"

sid

含义：规则的唯一签名 ID。 示例：sid:1000001

rev

含义：规则的版本号，用于跟踪更新。 示例：rev:1

classtype

含义：告警的分类类型。 示例：classtype:icmp-event

content

含义：在流量中查找的特定内容。 示例：content:"Login incorrect"

2）本地账号与 Snort 条件子句概述

      Snort 可通过设置条件子句来监控本地账号相关活动，如失败的登录尝 试。当满足条件时，触发告警或执行其他操作。

      具体 Snort 条件子句示例及解释

      示例：检查失败的 telnet 登录尝试

    规则语句：

    alert tcp $HOME_NET 23 -> any any (msg:"Failed login attempt"; content:"Login incorrect"; sid:1000002; rev:1; classtype:attempteduser;)

详细解释：

协议及源目标设定：

alert tcp：针对 TCP 协议的告警

$HOME_NET 23：源网络为本地网络，端口为 23（Telnet）

-> any any：流量流向任意目标 IP 和端口。

告警信息及分类相关：

msg:"Failed login attempt"：告警名称为“Failed login attempt”。

content:"Login incorrect"：流量中需包含“Login incorrect”字符 串。

sid:1000002：规则的唯一签名 ID 为 1000002。

rev:1：规则版本号为 1。 classtype:attempted-user：告警分类为“attempted-user”。 

3.外部规则集

相关网址：

Proofpoint：可能提供网络安全规则和建议。

Emerging Threats：提供新兴威胁相关的规则集。 

4.In Line 部署及阻断操作

    In Line 部署：Snort 直接介入网络流量路径，实现实时处理。 阻断操作：

D drop：丢弃符合特定条件的流量。

sdrop：类似 D drop，但具体实现可能有所不同。

reject：拒绝流量并发送拒绝响应给源端。  

总结：通过综合运用 Snort 的规则配置、外部规则集以及 In Line 部署和阻断操 作，可以实现对网络活动的全面、有效监控和安全防护。这要求管理员深入理 解 Snort 的配置字段和条件子句，并能够根据实际情况灵活设置和调整规则， 以确保网络的安全性和稳定性。 

四：有关英文专业术语  

1）企业网络架构相关：

CIO（Chief Information Officer）：首席信息官

CTO（Chief Technology Officer）：首席技术官

CISO（Chief Information Security Officer）：首席信息安全官

CFO（Chief Financial Officer）：首席财务官

CRO（Chief Risk Officer）：首席风险官

BYOD（Bring Your Own Device）：自带设备

ITIL（Information Technology Infrastructure Library）：信息技术基础设施库

DMZ（Demilitarized Zone）：非军事区

VPN（Virtual Private Network）：虚拟专用网络

SOC（Security Operations Center）：安全运营中心

ISMS（Information Security Management System）：信息安全管理体系

ISM3（Information Security Management Maturity Model）：信息安全管 理成熟度模型

LDAP（Lightweight Directory Access Protocol）：轻量级目录访问协议

AD（Active Directory）：活动目录

SAN（Storage Area Network）：存储区域网络

NAS（Network Attached Storage）：网络附加存储

SoL（Serial over LAN）：串行局域网协议

VMware：威睿（一家提供虚拟化和云计算软件及服务的公司）

vSphere：威睿公司的一款虚拟化平台产品

vCenter：威睿公司用于管理 vSphere 环境的软件

Proxmox：一种开源的服务器虚拟化管理平台

Hadoop：一个分布式系统基础架构，用于大数据处理

DataBricks：一家提供数据处理和分析平台的公司

Cloudera：一家大数据软件公司，提供基于 Hadoop 的大数据解决方案等

Google BigQuery：谷歌公司的大数据分析服务

Oracle BigData：甲骨文公司的大数据相关产品或服务

Amazon EMR（Elastic MapReduce）：亚马逊公司的大数据处理服务，基于 Hadoop 等开源技术

Azure Data Lake Storage：微软 Azure 云平台提供的用于存储大数据的 数据湖存储服务

Azure HDInsight：微软 Azure 云平台基于 Hadoop 的大数据分析服务

MongoDB：一种非关系型数据库（NoSQL 数据库）

Redis：一种开源的内存数据结构存储系统，常用于缓存、消息队列等场 景，也可作为数据库使用，属于非 SQL 数据库范畴 Azure CosmosDB：微软 Azure 云平台提供的全球分布式数据库服务，支持 多种数据模型，属于非 SQL 数据库

AWS DynamoDB：亚马逊网络服务（AWS）提供的快速、灵活的非关系型数据 库服务，属于非 SQL 数据库

SQLite：一种轻型的嵌入式数据库引擎，常用于移动设备、嵌入式系统等 场景，属于嵌入式 SQL 数据库

MariaDB：一个开源的关系型数据库管理系统，是 MySQL 的一个分支，属 于嵌入式 SQL 数据库 PostgreSQL：一种强大的开源关系型数据库管理系统，属于嵌入式 SQL 数 据库

Oracle SQL：甲骨文公司的 SQL 数据库产品，如 Oracle Database 中的 SQL 相关功能 Microsoft SQL Server：微软公司的关系型数据库管理系统，属于 SQL 数 据库

MySQL：一个开源的关系型数据库管理系统，广泛应用于各种应用场景，属 于 SQL 数据库 SMB/CIFS（Server Message Block/Common Internet File System）：服务 器消息块 / 通用互联网文件系统，是一种网络文件共享协议，用于在网络上的 计算机之间共享文件、打印机等资源 IPC（Inter-Process Communication）：进程间通信

SABSA（Sherwood Applied Business Security Architecture）：舍伍德应 用商业安全架构

CREST（Council of Registered Ethical Security Testers）：注册道德安全测试员委员会（一个提供相关安全测试和评估标准、培训等的组织）

2）网络攻击与防御相关

Cyber Hunting：网络狩猎

      MITRE ATT&CK（MITRE Adversarial Tactics, Techniques, and Common Knowledge）：美国麻省理工学院研究机构（MITRE）开发的一个对抗战术、技术 和通用知识框架，用于描述网络攻击者的行为方式及其使用的工具等信息，帮 助安全人员发现攻击痕迹和进行防御规划

      IOC（Indicator of Compromise）：妥协指标，用于识别恶意软件或恶意活 动的特征标记，通常以文件名和哈希值等形式呈现

     STIX（Structured Threat Information Expression）：结构化威胁信息表 达，一种用于描述网络威胁情报的标准格式，便于不同系统之间共享和处理威 胁信息

     TAXII（Trusted Automated Exchange of Intelligence Information）： 可信智能信息自动交换，一种用于在不同组织或系统之间自动交换威胁情报的 协议，常与 STIX 配合使用，实现威胁情报的自动提供和摄取

     AlienVault OTX（AlienVault Open Threat Exchange）：AlienVault 公司 提供的开放威胁交换服务，允许用户获取和共享网络威胁情报

    Snort：一款开源的网络入侵检测和防御系统，用于实时监控和分析网络流 量，及时发现并阻止网络威胁

    DAQ（Data Acquisition）：数据采集

    IDS（Intrusion Detection System）：入侵检测系统，用于监测网络中的 入侵行为并发出告警，但一般不直接阻断入侵行为

    IPS（Intrusion Prevention System）：入侵防御系统，不仅能检测入侵行 为，还能在发现异常时立即采取阻断等防御措施，防止入侵行为的发生

    AIDE（Advanced Intrusion Detection Environment）：高级入侵检测环 境，一种主要用于监视系统文件修改情况的事后告警系统，当发现文件被修改 时会发出告警信息，帮助追溯可能发生的安全事件

3）其他

     PDCA（Plan-Do-Check-Act）：计划、执行、检查、处理（一种质量管理方法，也常用于信息安全生命周期等的管理过程描述）

     JITA（Just-In-Time Access）：即时访问，零信任网络架构中的一个关键 特征，指用户或服务在需要时才被授予访问权限，且权限具有时效性，一旦任 务完成或时间过期，权限即被收回

     LPA（Least Privilege Access）或 JEA（Just Enough Access）：最小权 限访问或刚好足够访问，零信任网络架构中的关键特征，指用户或服务仅被授 予完成特定任务所需的最小权限集，以减少潜在的安全风险