08-1-蓝队技术_虚拟层原生支持oracle、microsoft sql server等关键应用在虚拟化上部署,采用非-优快云博客

本文链接：https://blog.youkuaiyun.com/xingchenxizhu/article/details/143725425

声明！

通过学习泷羽sec的个人空间-泷羽sec个人主页-哔哩哔哩视频，做出的文章，如涉及侵权马上删除文章，笔记只是方便各位师傅学习知识，以下网站只涉及学习内容，其他的都与本人无关,切莫逾越法律红线,否则后果自负.

文章为个人学习笔记。

蓝队技术基础是指在网络安全领域中，专门负责防御和保护企业网络不受攻击的团队所具备的技能和知识。与红队（渗透测试团队）相对，蓝队更侧重于防御措施和响应策略。

1、企业网络架构

企业管理架构

企业管理架构涉及企业技术和信息团队的组织结构和职责分配。在不同的企业中，这些架构可能会有所不同。

CIO（首席信息官）：负责企业信息系统的规划、实施和管理。
CTO（首席技术官）：负责企业的运营技术，包括产品开发和技术创新。
IT管理：包括中央系统管理、自带设备（BYOD）政策、影子IT（未授权的内部网络）的管理。
中央技术团队：由多个团队组成，包括客户服务团队、基础设施团队和数据库管理团队。
- 客户服务团队：负责工作站、笔记本和帮助台的支持。
- 基础设施团队：负责网络和服务器机群的维护。
- 数据库管理团队：负责数据库存储和维护。
技术团队：通常由项目驱动，负责采购系统、维护和建立技术运营团队，遵循IT基础设施库（ITIL）进行日常操作。
安全部门：通常由CISO（首席信息安全官）领导，向CIO、CTO、CFO（首席财务官）和CRO（首席风险官）报告。

企业·管理技术

信息安全管理成熟度模型（ISM3）：描述了企业安全运行和管理流程的成熟度。
安全职能：包含战略、战术和运营安全的所有方面，由CISO负责管理运营。
安全团队成员：应了解企业文化、组织结构、关键人员以及推动业务成功的关键流程，这对于建立安全团队的积极形象至关重要。

典型企业网络分区

企业网络通常划分为不同的安全区域，以控制区域间的访问权限，从而防御外部和内部攻击。

DMZ（Demilitarized Zone）：隔离内部网络与外部系统，减少直接暴露给互联网的风险。
蜜罐：用于引诱和分析入侵者的技术。
代理服务器：对外提供有限的服务，作为内部网络与外部网络之间的中介。
VPN（虚拟私人网络）：允许员工和合作伙伴安全地连接到内网。
核心网络：通常物理分离、冗余，以确保高可用性和安全性。
内部网络：包括有线、无线和VPN连接。
安管区：负责管理日志、告警和监控网络活动。

模糊的网络边界

随着云计算和SaaS服务的普及，传统的网络结构正在减少，网络边界变得越来越模糊。

云部署：越来越多的基础架构部署在云中，或使用SaaS服务。
身份凭据同步机制：企业经常提供身份凭据同步机制，甚至SSO（单点登录）解决方案。
云服务与本地硬件：云服务可能涉及在本地运行的硬件，例如Azure AD Connect系统。
数据管理：数据通过内部和外部服务进行管理，例如Oracle数据集成器。
工作负载共享：工作负载可以通过Oracle服务总线或戴尔云平台跨混合环境共享。

外部攻击面管理

外部攻击面管理涉及收集开源情报、绘制网络范围内全部节点、关闭无用节点等活动。

开源情报收集：通过各种渠道收集有关企业网络的信息。
网络节点绘制：使用工具如nmap -Sn <subnet>/24绘制网络范围内全部节点。
重点关注：重点关注开启了SSH服务的未加固设备。
识别潜在攻击点：使用nmap -PS -sV ip-address识别潜在攻击点。
漏洞测试：大型网络主机和应用程序可能缺少补丁或配置存在漏洞，使用漏扫软件（如Nessus）验证漏洞存在。
searchsploit：searchsploit <service name> <version>是在searchsploit工具中按照服务名称和版本号来搜索相关漏洞利用脚本的命令格式。

2、身份和访问管理

身份管理与典型应用识别

身份管理是确保正确用户能够访问适当资源的关键安全实践。在企业环境中，这通常涉及到识别和验证操作系统、应用程序和服务。

识别Windows典型应用：通过使用nmap工具，如sudo nmap -PS -sV somesystem.com，可以识别Windows系统中运行的典型应用，如Microsoft Exchange、SharePoint和Active Directory（AD）。
识别Linux典型应用：Linux系统中常见的服务包括OpenSSH和Samba，这些服务用于安全远程登录和文件共享。
识别WEB服务：企业应用或边界设备、VoIP等服务可以通过whatweb工具识别，如whatweb http://someweb.org。
识别客户端设备：客户端设备通常见于内网，有时由于管理员的疏忽，这些终端设备可能会暴露给攻击者。

特权管理与用户权限管理

特权管理与用户权限管理是确保企业安全的重要组成部分，涉及到如何控制用户对系统资源的访问。

身份和访问管理：身份以及特权和访问权管理是企业安全的重要方面。基本工作站和服务器维护自己的身份存储，使用账号、服务账号来控制访问。
普通用户权限限制：普通用户不能执行系统级配置管理命令，以防止误操作或恶意活动。例如，在Linux系统中，普通用户可能需要sudo权限或以管理员身份运行来执行特定命令。

访问控制与目录服务

访问控制和目录服务是管理用户访问权限的核心技术。

目录服务：LDAP（轻量级目录访问协议）是一种常用的目录服务协议，包括Active Directory（AD）和OpenLDAP。它们用于集中管理用户身份和访问权限。
域集中管理：在域环境中，资源存储和权限管理是集中进行的，通常通过组策略来实现。这允许管理员为整个组织或特定组设置统一的安全策略。

3、数据存储与虚拟化

企业数据存储

企业数据存储架构

企业数据存储架构主要涉及集中式数据库和分布式数据库两种类型。集中式数据库将数据存储在单一位置，而分布式数据库则将数据分散存储在多个位置，以提高数据的可用性和可扩展性。随着数据分析学科的兴起和监管的数据留存要求，企业需要集中的数据存储技术来满足这些需求。

大量数据通常部署为存储区域网络（SAN），这是一种高速网络，连接多个存储设备，以提供高性能的数据存储和检索能力。网络附加存储（NAS）是另一种存储方案，它是一个拥有大量存储的单个设备，服务器和工作站可以通过本地网络访问。

企业还可以使用串行局域网（SoL）协议，使串行数据基于HTTPS传输，以提高数据传输的安全性。

企业虚拟化平台

企业虚拟化平台主要指用于管理虚拟化资源的软件平台。VMware的vSphere和vCenter是市场上广泛使用的虚拟化管理平台，它们提供了强大的虚拟机管理和资源优化功能。Proxmox也是一种流行的开源虚拟化平台，它支持KVM虚拟化技术，允许用户在单个服务器上运行多个独立的操作系统。

数据湖及相关技术

数据湖

数据湖是一种保存大量不同形式数据的大型存储库，它能够存储结构化、半结构化和非结构化数据。数据湖的设计理念是存储原始数据的完整拷贝，不修改数据格式、模式或内容，以保持数据的“保真性”。数据湖的灵活性体现在它支持“读取型schema”，允许数据在读取时根据业务需求进行适配，而不是在写入前就确定数据模式。

Hadoop已经成为企业中常见的数据湖解决方案，它提供了一个分布式文件系统（HDFS）和分布式计算框架，用于存储和处理大规模数据集。DataBricks是另一种本地解决方案，它提供了一个统一的数据分析平台，支持多种数据处理和分析工具。

基于云的大数据解决方案提供了更多的灵活性和可扩展性，例如Cloudera、Google BigQuery、Oracle BigData、Amazon EMR和Azure Data Lake Storage等。Azure HDInsight是一个基于云的Hadoop服务，它允许用户在Azure云平台上运行Hadoop作业。

围绕数据湖有一个完整的技术生态，提供数据摄取管道和数据分析工具。Hadoop也可能带有前端安全服务，用于限制对湖中特定数据的访问。这为攻击者大规模未经授权访问数据以及渗透系统提供了机遇和挑战。攻击者的一个特定目标是Hadoop的YARN服务，如果配置错误，很容易受到恶意HTTP请求的攻击，从而获得系统命令行shell。

企业数据库与传统存储形式

企业数据库可以分为SQL数据库和非SQL数据库。SQL数据库包括Oracle、Microsoft SQL Server、MySQL等，它们支持结构化查询语言，用于管理和查询关系型数据。嵌入式SQL数据库如MariaDB、PostgreSQL、SQLite等，通常用于设备中的数据库管理。非SQL数据库，也称为NoSQL数据库，包括MongoDB、Redis、Azure CosmosDB、AWS DynamoDB等，它们支持非关系型数据模型，适用于处理大规模分布式数据。

传统存储形式包括共享驱动器，通过SMB协议访问。例如，smbclient -L server U user命令用于列出服务器上可用的共享资源。Windows默认共享包括C（所有驱动器默认共享）、ADMIN（管理共享）和IPC$（管道：用于与其他计算机互操作的特殊连接器）。这些共享资源可以通过smbclient \\someserver\test -U user smb:> get Fritz.doc命令进行访问和文件传输。

4、安全运营中心（SOC）管理流程

ISMS与SOC管理概述

SOC管理流程

安全运营中心（SOC）是一个集中式的网络安全监控和防御中心，负责全天候监控组织的IT基础设施，以识别、分析和响应网络安全事件和威胁。SOC的目标是保护组织的数字资产和敏感数据，并确保业务连续性。

SOC & ISMS

ISMS（Information Security Management System，信息安全管理系统）是一套管理实践，旨在建立、实施、维护和改进组织的信息安全。SOC是企业信息安全计划的一部分，了解其如何适应ISMS十分重要。ISO 27001标准是一个适用于审计和认证的基于控制方法的国际标准，用于指导ISMS的建立。NIST网络安全框架注重预防和应对网络攻击，提供了一个灵活的网络安全框架，以适应不同组织的需求。这两个框架都指导如何建立运营安全程序，但都没有具体提出建立SOC的要求，因此每个企业安全运营的组织方法都不尽相同。

信息安全生命周期

信息安全生命周期分为四个阶段：安全策略、能力设计、实施和运营。戴明环（PDCA，即计划、执行、检查、行动）是其早期表现。SABSA（Sherwood Applied Business Security Architecture）框架改进为战略规划、设计、实施、管理测量的生命周期。

SOC人员分级及任务分配

SOC人员分级及任务分配是根据他们的技能和经验来分配不同的职责。从渗透测试的角度，掌握SOC的日常操作活动，是为了避免被发现；从防御者的角度，掌握SOC完整的生命周期视图，以确保其有效性。SOC的目标是通过监控和事件响应为基础设施和操作提供安全保障。

L1（第一层）：提供监视告警、分类和解决小问题。
L2（第二层）：提供对日常事件的分析、遏制和解决。
L3（第三层）：负责损失控制、深入调查和取证分析等IR（事件响应）事件。
L4（第四层）：安全管理，负责日常、非事件相关的程序，如开设账户、访问授权审查、定期安全报告和其他主动安全程序。

SOC团队成员定期分析威胁数据，以寻求改善组织整体安全状况的方法。SOC团队的主要任务是实时、快速、高效地识别、分析和响应网络安全事件和威胁。SOC团队成员与其他部门或团队合作，与利益相关者共享事件的信息。SOC通常采用分层结构来处理安全事件，不同层级的分析人员经验和技能不同。

5、网络杀伤链

洛克希德马丁公司的网络杀伤链模型详细描述了网络攻击的七个阶段，每个阶段都是攻击者实施网络攻击生命周期的一部分。以下是对这七个阶段的详细补充与解释：

1. 侦察（Reconnaissance）

侦察阶段是攻击的最初阶段，攻击者在这个阶段对目标进行信息收集和探测。他们可能会利用社交媒体平台如Facebook和LinkedIn来收集个人信息或公司详细信息。攻击者通过在线观察目标（或通过其他方式），建立目标的轮廓，并设计出最有效的攻击策略。例如，设计针对潜在目标的钓鱼邮件来收集相关信息。

2. 武器化（Weaponization）

在这个阶段，攻击者根据侦察所获取的信息，将恶意软件或攻击工具进行定制和包装，使其能够利用目标系统的特定漏洞，转化为具有攻击性的“武器”。

3. 投送（Delivery）

投送阶段涉及将武器化的恶意软件或攻击工具投送到目标系统或网络中。常见的投送方式包括通过电子邮件附件、恶意链接、受感染的移动存储设备等。

4. 利用（Exploitation）

一旦投送成功，恶意软件便会利用目标系统存在的漏洞来触发并执行恶意代码，从而获取对目标系统的初步访问权限或控制权。

5. 安装（Installation）

在成功利用漏洞进入目标系统后，攻击者会进一步在目标系统内安装额外的恶意软件组件，如后门程序、远程控制工具等，以便长期、稳定地控制目标系统。

6. 指挥与控制（Command & Control）

安装在目标系统内的恶意软件会与攻击者所控制的外部服务器建立连接，使得攻击者能够远程对目标系统下达指令、获取数据以及进行进一步的操控。

7. 行动（Action）

这是网络攻击的最后阶段，攻击者通过已经建立的指挥与控制通道，在目标系统上执行其预期的恶意活动，如窃取敏感信息、篡改数据、发起拒绝服务攻击等，从而达成其攻击目的。

网络杀伤链模型有助于了解如何进行攻击并为我们做好应对攻击的准备，例如勒索软件和安全漏洞。攻击通常遵循有序的渗透技术顺序；使用在洛克希德模型，了解这个模型可以帮助组织更好地识别和防御网络攻击，减少潜在的安全风险。

6、日志收集与分析

关键日志来源及配置

收集关键日志来源

关键日志来源包括代理服务器、邮件服务器、Web服务器、数据库、身份认证服务器、防火墙、路由器和交换机，以及应用程序服务器和工作站。这些设备和服务器是企业网络中的关键组件，它们的日志记录了网络活动和系统行为的重要信息，对于安全监控和事件响应至关重要。

配置日志源生成日志并转发给收集器，进而上传到SIEM

日志配置涉及确保这些设备和服务器能够生成日志，并将其转发给日志收集器。SIEM（Security Information and Event Management）系统是一种安全解决方案，用于监视、识别和响应网络上的安全事件。SIEM系统收集来自各种网络安全设备和应用程序的日志和事件数据，对这些数据进行分析和处理，并提供实时安全警报和报告，以帮助企业保护其网络免受安全威胁。

对于Windows系统，事件日志收集和转发可以通过Windows事件日志服务来实现。Linux系统则通常使用syslog来收集和聚合日志，并将其转发给日志收集器。

收集楼宇管理和工控网络日志

楼宇管理和工控网络系统现在通常连接到企业网络，可能成为主要的攻击目标。因此，这些系统的日志收集也非常重要。这些日志可以提供关于物理访问、设备状态和工业流程的宝贵信息，有助于识别潜在的安全威胁和运营问题。

日志分析工具与告警系统

日志搜索&分析

日志分析工具如Splunk提供日志收集、存储、搜索、分析和可视化功能。Splunk通过实时指标和跟踪分析日志，帮助用户快速查找并解决问题。SIEM系统则关联日志与活动，识别可疑内容。Splunk也可以作为SIEM解决方案，提供跨不同来源关联和分析事件的能力。

监控告警

告警可以来自SIEM系统，但也可以直接来自安装在系统和网络中的传感器实时告警系统，如入侵检测系统（IDS）设备。事后告警系统，如AIDE攻击（监视系统文件的修改），也是一种重要的安全监控手段。

在某些情况下，事件不会从日志或警报中触发。例如，攻击者更改了用户密码，用户联系管理员通告。这时，事件响应就显得尤为重要。

事件响应

L2级分析师在收到L1级的工单时，会进行分析评估后进行事项响应流程。数字取证分析是网络安全的一个专门领域，通常由L3级分析师处理，他们针对内存硬盘以合法方式取证，保护完整性。这包括对事件的深入调查、取证分析和损失控制，以确保事件得到妥善处理，并从中吸取教训，改进安全措施。

7、网络狩猎与威胁情报

网络威胁狩猎及MITRE ATT&CK框架

Cyber Hunting

网络威胁狩猎是一种主动的安全监控方法，它假设网络可能已经被渗透，并专注于通过寻找恶意软件（或入侵者）来预防潜在的攻击造成损失。这个过程涉及到寻找一系列指标，以还原网络攻击的时间线，从而在攻击者造成损害之前发现并阻止他们。

网络威胁猎人的一个关键资源是MITRE ATT&CK框架，这是一个基于真实世界观察到的攻击者行为模式的知识库。它提供了攻击者行为方式及其使用工具的信息，帮助安全专家发现攻击痕迹。网络威胁搜寻需要非常了解正常状态，并能够识别入侵和异常活动。

MITRE ATT&CK框架

MITRE ATT&CK框架是一个对抗战术、技术和常识（Adversarial Tactics, Techniques, and Common Knowledge）的知识库，它基于真实攻击事件创建，内容丰富、实战性强。该框架提供了一个威胁矩阵，将战术、技术和子技术通过直观的方式汇总到一起，帮助网络防御者分析攻击者行为，以检测对手使用的技术。ATT&CK框架有四个常见的应用场景：检测和分析、威胁情报、对手仿真和红队行动、评估与工程决策。

威胁情报自动化（STIX/TAXII协议）

威胁情报

威胁情报是指用于识别恶意软件或恶意活动的签名，通常以文件名和哈希值的形式提供。这些信息可以帮助组织识别和防御潜在的安全威胁。

STIX/TAXII协议

考虑到新威胁信息的规模，手动获取和记录威胁情报不再可行。自动化威胁管理方面，MITRE开发了结构化威胁信息表达（STIX）和可信智能信息自动交换（TAXII）协议，以实现威胁信息的自动提供和摄取。STIX/TAXII旨在允许自动获得威胁情报并将其输入IDS、SIEM等工具，后者使用这些信息直接扫描传入的流量或文件。从而实现威胁情报的近乎实时更新，以确保击败已知威胁。

另一个开放威胁交换服务之一是AlienVault OTX。在AlienVault站点注册并获得OTX密钥后，可以手动访问危害指标。这些协议和平台使得威胁情报的共享和利用更加高效，提高了组织对新兴威胁的响应能力。

8、安全管理

安全管理是一系列确保公司业务安全的日常流程和策略，旨在保护组织的资产免受各种威胁。

身份与访问管理

身份管理 (IAM)

IAM是任何安全程序的基础，它涉及识别、验证和管理用户的身份。IAM系统确保只有授权用户才能访问敏感数据和系统。这包括用户账户的创建、维护和删除，以及监控和记录用户活动。

访问控制

访问控制是配置和验证用户访问系统的权限的过程。这包括制定审计规则，以确保用户只能访问他们被授权的资源。访问控制策略通常基于最小权限原则，即用户仅获得完成其工作所必需的访问权限。

特权管理 (PAM)

PAM系统允许非特权用户在需要时请求特权访问，这是一种权限提升的过程。PAM有助于减少特权账户的不当使用，并确保对敏感操作的审计和监控。

媒体消毒

媒体消毒是指在数据存储介质的生命周期结束时，安全地清理和销毁敏感数据。这包括从硬盘驱动器、USB驱动器和其他存储设备中彻底删除数据，以防止数据泄露。

人事安全

人事安全涉及保护员工免受安全威胁，包括培训员工识别和防范社会工程攻击，以及确保员工在离职或变更职位时正确地转移或撤销访问权限。

证书管理与远程访问

证书管理

证书管理是确保数字证书的有效性和安全性的过程。证书过期和泄露可能导致公钥基础设施（PKI）架构的破坏，因此必须妥善管理。

远程访问

在后疫情时代，随着远程工作的普及，远程访问已成为攻击的重点。组织必须确保远程访问解决方案的安全性，以防止未经授权的访问和数据泄露。

零信任网络架构

零信任网络架构是一种安全模型，它始终假设内部网络可能已被破坏。这种模型要求在授予访问权限之前，始终对用户的身份和授权进行积极验证。

JITA (即时访问)

JITA是一种安全实践，要求在授予访问权限之前，对用户的身份和授权进行实时验证。

JEA (只需足够的访问权限)

JEA是一种安全原则，要求用户仅获得完成其任务所必需的访问权限。

动态访问策略

动态访问策略根据用户的行为、设备状态和网络环境等因素动态调整访问权限。

微观分割

微观分割是一种网络安全技术，通过将网络分割成更小的部分来限制潜在的攻击面。

安全和基础设施

数据备份/恢复

数据备份和恢复是重要的运营技术。在发生灾难或攻击事件时，备份数据是一项关键的安全资产，确保业务连续性和数据恢复。

变更管理

变更管理是与系统变化过程密切相关的安全实践。它确保在提交变更之前已经正确评估了风险，并包含推出计划、回滚计划、影响评估和依赖关系清单。

管理物理环境

管理数据中心环境涉及物理和电子安全，包括物理访问控制、机房环境（如功率、温度、气压等）的监控和维护。这有助于保护数据中心免受物理损害和环境风险。

‍

9、事件响应

事件管理生命周期/事件响应生命周期

事件响应管理是一个结构化的过程，它涉及到对安全事件的识别、响应和恢复。这个过程可以被分解为以下几个阶段：

准备阶段：在这个阶段，组织需要建立事件响应团队，制定响应计划，并进行培训和演练，以确保在真正的安全事件发生时能够迅速有效地响应。
识别阶段：在这个阶段，组织需要通过监控和报警系统来识别潜在的安全事件。
响应阶段：一旦安全事件被识别，响应团队需要迅速采取行动，以遏制事件的影响，并开始调查事件的原因。
遏制阶段：在这个阶段，响应团队会采取措施来限制事件的影响范围，防止进一步的损害。
根除阶段：这个阶段的目标是消除事件的根本原因，防止事件再次发生。
恢复阶段：在这个阶段，受影响的系统和服务需要被恢复到正常状态。
后续阶段：事件处理完毕后，需要进行事后分析，总结经验教训，并根据这些经验改进响应流程和策略。

事件管理模型与方法（NIST和CREST框架）

CREST事件管理模型

CREST（Council of Registered Ethical Security Testers）提供的事件管理模型包括以下几个阶段：

准备：了解组织的系统和控制措施，并通过培训和演练使组织为可能的安全事件做好准备。
响应：在安全事件发生时，识别事件、进行调查，并采取行动以响应事件并恢复业务服务。
后续：事件处理完毕后，进行进一步的调查，形成报告，总结经验教训，并根据这些经验改进流程。

SABSA多层控制策略

SABSA（Sherwood Applied Business Security Architecture）是一种多层控制策略，包括以下几个层次：

威慑：通过展示组织的防御能力来阻止潜在的攻击者。
预防：采取措施防止攻击发生，例如通过安全培训和访问控制。
遏制：限制攻击的影响，例如通过防火墙和入侵检测系统。
检测和通知：识别攻击并通知相关方，例如通过安全监控和报警系统。
恢复：恢复正常业务操作，例如通过数据备份和恢复计划。

应急响应准备与手册

事件响应方法NIST特别出版物800-61:计算机安全事件处理指南

NIST（National Institute of Standards and Technology）提供了一个事件响应框架，包括以下几个步骤：

检测和分析：识别安全事件并分析其性质。
遏制：采取措施限制事件的影响。
根除和恢复：消除事件原因并恢复受影响的服务。
事件后活动：包括事后审查和总结经验教训。

PDCA的事件响应生命周期

PDCA（Plan-Do-Check-Act）是一个循环的质量管理方法，可以应用于事件响应：

计划：制定应急响应计划。
执行：实施应急响应措施。
检查：评估应急响应的效果。
行动：根据检查结果改进应急响应计划。

应急响应手册概述

应急响应手册是一个详细的指导文档，它规定了在不同安全事件发生时应执行的标准操作程序。这个手册按照安全事件的类别进行分类，并详细阐述了每种情况下的应急操作流程。

各安全事件类别及相关情况

以下是一些具体的安全事件类别和相关情况的补充解释：

PB01 扫描

PB01.1 IP地址扫描：当检测到对组织的IP地址进行扫描时，需要记录扫描活动，分析其可能的目的，并采取相应的防御措施。
PB01.2 端口扫描：对于端口扫描，需要识别扫描的端口，评估潜在的风险，并加强这些端口的安全措施。

PB02 托管威胁

PB02.1 病毒隔离：当检测到病毒时，需要隔离受感染的系统，以防止病毒传播，并进行清理。
PB02.2 登录尝试失败：对于多次登录尝试失败，需要调查可能的原因，如密码猜测攻击，并加强账户安全。
PB02.3 已知漏洞：在发现已知漏洞时，需要尽快应用安全补丁，并进行系统加固。

PB03 入侵

PB03.1 入侵迹象：当检测到入侵迹象时，需要进行深入的调查，以确定入侵的范围和影响，并采取措施阻止进一步的入侵。
PB03.2 非特权账户泄露：对于非特权账户信息泄露，需要重置账户密码，并检查账户活动以确定是否有未授权的访问。
PB03.3 未经授权的权限提升：对于未经授权提升权限的情况，需要调查权限变更的来源，并恢复正确的权限设置。
PB03.4 恶意员工活动：对于员工的恶意活动，需要进行调查，并根据组织的政策采取纪律处分。
PB03.5 管理账户泄露：管理账户信息泄露时，需要立即重置密码，并进行全面的安全审查。

PB04 可用性

PB04.1 拒绝服务攻击：对于拒绝服务攻击，需要识别攻击源，采取流量过滤等措施来减轻攻击，并恢复服务。
PB04.2 破坏：对于系统被破坏的情况，需要进行系统恢复，并加强系统的抗破坏能力。

PB05 信息

PB05.1 未经授权访问信息：需要调查未经授权访问信息的行为，并加强信息保护措施。
PB05.2 未经授权修改信息：对于信息被未经授权修改的情况，需要恢复信息，并调查修改的原因。
PB05.3 数据泄露：在数据泄露的情况下，需要识别泄露的数据，通知相关方，并采取措施防止未来的泄露。

PB06 欺诈

PB06.1 未经授权使用资源：对于未经授权使用资源的行为，需要调查使用情况，并加强资源的访问控制。
PB06.2 侵犯版权：对于侵犯版权的行为，需要采取法律行动，并加强版权保护。
PB06.3 欺骗身份：对于欺骗身份的行为，需要调查欺骗行为，并加强身份验证措施。

PB07 恶意内容

PB07.1 网络钓鱼电子邮件：需要教育员工识别网络钓鱼邮件，并采取技术措施来过滤这些邮件。
PB07.2 恶意网站：对于恶意网站，需要采取措施防止员工访问，并清除任何恶意软件。
PB07.3 受感染的U盘：对于受感染的U盘，需要进行消毒，并加强U盘使用的安全管理。

PB08 恶意软件检测

PB08.1 病毒或蠕虫：对于病毒或蠕虫的检测，需要隔离受感染的系统，并使用杀毒软件进行清理。
PB08.2 勒索软件：对于勒索软件，需要评估支付赎金的风险，并采取数据恢复措施。
PB08.3 APT：对于高级持续性威胁，需要进行深入的网络监控和调查，并加强网络安全措施。

PB09 技术诚信

PB09.1 网站污损：对于网站污损，需要清除污损内容，并加强网站的安全防护。
PB09.2 DNS重定向：对于DNS重定向，需要调查重定向的原因，并恢复正确的DNS设置。

PB10 盗窃

PB10.1 资产盗窃：对于资产盗窃，需要进行调查以找回被盗资产，并加强物理和网络安全措施以防止未来的盗窃。

这份手册通过对各类安全事件的详细分类及对应应急操作的明确，为应对不同的网络安全问题提供了较为全面的指导规范。通过这些措施，组织可以更有效地准备和响应安全事件，减少潜在的损害，并提高整体的网络安全性。

‍

10、演练与沟通

应急演练及红蓝对抗

应急演练和红蓝对抗是提高团队应对能力、验证响应计划有效性的重要手段。通过模拟真实攻击场景，可以总结经验、发现问题并改进计划。红蓝对抗演练需要有一个良好的运转周期，以确保演练效果，并让攻守双方有时间消化吸收每次演练的成果。在演练中，确定目标应该量力而行，考虑攻守双方资源问题，并在演练开始前确定规则，以避免后期因认知不统一导致的问题。信息同步和应急处理也是演练中的关键环节，需要指挥部扮演信息交互渠道的角色，并在突发情况出现时能马上联系到相关人员进行处理。演练结束后，组织攻防双方进行复盘，考虑攻守双方信息同步规则，由指挥部来把控这部分信息管控。

事件检测与响应

安全事件的发生需要通过事件上报来进行记录和处理。系统监控与检查日志告警是检测安全事件的关键步骤，它们可以帮助组织确定事件级别并检测是否存在入侵。一旦检测到安全事件，就需要进行调查，并采取遏制措施以防止事件扩散。溯源取证是调查事件的重要部分，它可以帮助安全团队查明威胁的根本原因，识别威胁所影响的各种文件，并追溯攻击者如何利用漏洞进入网络。

报告与总结

编写应急响应报告是事件管理过程中的一个重要环节。报告应包括标题、编号、事件归类级别、受影响的系统和账号等信息。事件详细过程和还原事件时间线是进一步调查计划的基础。经验总结与改进建议是报告的重要组成部分，它们可以帮助组织从事件中学习并改进未来的响应计划。有效的沟通计划也是必不可少的，它能帮助组织在不同情况下确定何时以及如何将正在发生的情况告知组织内部和外部的其他人。

11、入侵检测与防御

IDS与IPS设备管理（Snort等）

Snort是一个开源的网络入侵检测系统（NIDS），被广泛用于检测和阻止网络威胁。它能够根据预设的规则来识别可疑的网络活动，并发出警报或采取行动。网络安全专业人员需要理解Snort的工作原理，并有能力修改其规则以适应特定的网络环境和安全需求。Snort可以配置为仅作为IDS（入侵检测系统）使用，也可以配置为IPS（入侵防御系统），在检测到威胁时能够自动做出反应，如阻止攻击流量。

Fortinet防火墙等设备支持导入Snort规则，这意味着可以将Snort的检测能力与Fortinet防火墙的防御能力结合起来，提供更全面的网络安全解决方案。

流量分析与攻击检测

流量分析是发现网络攻击的重要手段。通过分析网络流量，可以发现恶意流量，实现被动告警和主动阻止攻击。IDS通常采用带外监视的部署方式，即不直接参与网络数据的传输，而是监控网络流量，以便检测潜在的安全威胁。

入侵防御系统（IPS）则可以串联部署在网络中，具有主动阻止威胁的能力。与IDS相比，IPS能够对被明确判断为攻击行为的恶意行为进行检测和防御，降低或是减免使用者对异常状况的处理资源开销，适合需要更快响应的场景。

安装依赖包

为了安装和运行Snort，需要安装一些依赖包，包括：

DAQ数据采集库：DAQ（DAQ库）是一个跨平台的库，用于捕获和分析网络流量，是Snort运行的基础。
内存分配器：用于优化Snort在处理大量网络数据时的内存使用。

安装配置Snort3

安装Snort3后，可以进行自定义规则的配置。例如，可以设置规则对发往特定网络（如$HOME_NET）系统或子网中IP地址的任何流量发出警报。以下是一个简单的Snort规则示例，用于对ICMP（例如ping）流量发出警报：

alert icmp any any -> $HOME_NET any (msg:"Test Ping Event: sid:1000001 rev:1;" classtype:icmp-event;

这条规则的含义是，如果有任何ICMP流量发往定义的$HOME_NET网络，Snort将生成一个警报，提示可能的ping事件。通过这种方式，Snort可以帮助网络安全专业人员及时发现并响应网络威胁。

‍

文件管理

一、文件管理概述（Snort规则配置）

在网络安全监控中，Snort等工具的规则配置是关键。规则定义了如何检测和处理网络流量，并触发相应的告警。这些规则包含多个字段，每个字段都扮演着特定的角色，共同确保网络活动的准确监控。

解释：
Snort规则配置文件通常是一个文本文件，其中包含了一系列的规则，每条规则都定义了一种特定的网络行为模式。当网络流量与这些规则匹配时，Snort会根据规则的指令执行相应的动作，如记录事件、发送告警或阻断流量。规则配置是网络安全防护的第一道防线，因此，正确配置和维护这些规则对于保护网络至关重要。

二、Snort规则配置字段详细描述

alert

含义：指示这是一个告警规则。当流量匹配规则时，Snort将生成告警。
示例： alert icmp any any -> $HOME_NET any (msg"Test Ping Event"; ...)
补充解释： alert 关键字用于定义一个规则，当网络流量与规则匹配时，Snort会生成一个告警事件。

icmp/tcp/udp

含义：指定要监控的协议类型（如ICMP、TCP、UDP）。
示例： alert icmp ... 或 alert tcp ...
补充解释：这些关键字用于指定Snort需要监控的协议类型，以便对特定协议的流量进行分析。

any

作为源/目标IP或CIDR：表示任意IP地址。
作为源/目标端口：表示任意端口。
示例： any any（任意源IP和端口）
补充解释： any 关键字在规则中用于匹配任意的IP地址或端口，提供了一种灵活的方式来定义规则。

< >（方向运算符）

含义：指示流量的方向。
示例： -> 表示从源到目标的流量。
补充解释：方向运算符用于指定流量的流向，这对于定义规则的匹配条件至关重要。

$HOME_NET

含义：在Snort配置中定义的本地网络。
示例： $HOME_NET 替代具体的IP范围。
补充解释： $HOME_NET 是一个变量，用于代表本地网络。在Snort配置文件中，可以定义多个这样的变量，以简化规则的编写和维护。

msg

含义：告警的描述性名称。
示例： msg"Test Ping Event"
补充解释： msg 字段用于提供一个人类可读的告警信息，有助于快速识别和响应安全事件。

sid

含义：规则的唯一签名ID。
示例： sid:1000001
补充解释： sid（Signature ID）是一个唯一的标识符，用于区分不同的规则。它有助于在更新规则集或分析告警时快速定位特定的规则。

rev

含义：规则的版本号，用于跟踪更新。
示例： rev:1
补充解释： rev（Revision）字段用于标记规则的版本，有助于跟踪规则的变更历史和维护规则的一致性。

classtype

含义：告警的分类类型。
示例： classtype:icmp-event
补充解释： classtype 字段用于对告警进行分类，这有助于在分析告警时快速识别事件的类型。

content

含义：在流量中查找的特定内容。
示例： content:"Login incorrect"
补充解释： content 字段用于定义规则匹配的具体内容，如特定的字符串或二进制模式。这是检测特定攻击或异常行为的关键部分。

三、本地账号与Snort条件子句概述

Snort可通过设置条件子句来监控本地账号相关活动，如失败的登录尝试。当满足条件时，触发告警或执行其他操作。

补充解释：
Snort的条件子句允许管理员定义更复杂的规则，以便检测和响应特定的网络行为。例如，可以设置规则来监控对本地账户的登录尝试，并在检测到多次失败的登录尝试时触发告警。

四、具体Snort条件子句示例及解释

示例：检查失败的telnet登录尝试

规则语句：

alert tcp $HOME_NET 23 -> any any (msg:"Failed login attempt"; content:"Login incorrect"; sid:1000002; rev:1; classtype:attempted-user;)

详细解释：
- 协议及源目标设定：
  - alert tcp：针对TCP协议的告警。
  - $HOME_NET 23：源网络为本地网络，端口为23（Telnet）。
  - -> any any：流量流向任意目标IP和端口。
- 告警信息及分类相关：
  - msg:"Failed login attempt"：告警名称为“Failed login attempt”。
  - content:"Login incorrect"：流量中需包含“Login incorrect”字符串。
  - sid:1000002：规则的唯一签名ID为1000002。
  - rev:1：规则版本号为1。
  - classtype:attempted-user：告警分类为“attempted-user”。