防御型安全（蓝队）入门

Defensive Security Intro

Task1: Introduction to Defensive Security

Defensive Security also known as blue teaming. The impact of poor security can be severe and incredibly costly for an organization.

Task2: Responsibilities of Defensive Security

Key areas of defensive security:

Monitoring and Detecting:监控与检测
Incident Response:事件响应
Threat Intelligence:威胁情报
Vulnerability Management:漏洞管理
Investigation and Analysis:调查与分析

Task3: Defensive Security in Practice

Organizations don't rely on a single tool or method to stay secure --- they build layers of defense (防御层), much like an onion or many layers to a castle. We call this "Defense in Depth"(纵深防御) meaning that if one security measure fails, we have others to rely upon at various stages.

防御安全核心防护手段

Employee Training 员工安全培训

核心重要性 ：网络安全中的人为因素不可忽视，攻击往往针对员工而非系统，是防护体系的基础环节
核心目标 ：培训员工主动识别钓鱼攻击等网络攻击企图
核心作用：从人为意识层面降低攻击风险，弥补技术防护的人为漏洞

Intrusion Detection Systems (IDS) 入侵检测系统

形象类比 ：企业 IT 体系的监控摄像头（surveillance cameras）
核心功能 ：全天候监控企业网络 / 系统，检测到可疑行为 / 活动 时及时监控并触发警报（monitor and alert）
核心定位：网络层面的实时检测工具，蓝队核心监测依托设备

Firewalls 防火墙

形象类比 ：企业网络的安保人员（security guards）
核心功能 ：监控网络流量，判定并筛选允许进入 / 拒绝访问的网络流量
核心定位：企业网络边界防御核心，第一道技术防护屏障，拦截外部非法流量入侵

Security Policies 安全策略

核心作用：规范企业系统的正确使用，从制度层面降低安全风险
具体措施
- 禁止访问危险网站
- 要求设置强密码，增加攻击者破解登录信息的难度
核心定位：防护体系的制度保障，与技术工具、员工培训形成互补

一、Exploring the Security Operations Centre （SOC）

核心定义

SOC 是企业技术体系的防御安全指挥中心，作为网络安全防护的一线阵地，是企业防护网络、系统和数据的核心枢纽。

核心特征

工作模式：全年无休、全天候运行（around the clock, 365 days a year）
人员配置：配备各类安全专业人员
核心工作：持续监控、防护企业的网络、系统和数据

SOC 日常核心工作

核查由安全工具触发的警报（Reviewing alerts from security tooling）
调查网络 / 系统中的异常现象（Investigating anomalies）
响应各类安全事件（Responding to incidents）

岗位定位

SOC 的安全专业人员是企业安全防护一线的 "耳目"，是异常和威胁的首个发现者与初步处置者。

二、SIEM(Security Information and Event Management) ：The Defensive Security Radar

核心定义

SIEM（Security Information and Event Management，安全信息和事件管理系统）是企业内所有安全数据的集中汇总中心，收集来自安全设备、工作站、服务器等各类终端 / 设备的全部数据和信息。形象类比

现实场景：现实世界的指挥控制中心
数字场景：扫描数字环境的 "雷达"

核心重要性

企业防御安全体系中不可或缺的关键部分，能为工作人员提供企业 IT 体系内的实时运行态势洞察，清晰掌握各类网络 / 系统行为。

核心作用 & 设计初衷

解决痛点：企业各类系统会产生海量安全信息，分散的信息难以快速研判
核心价值：将所有信息整合至单一、集中且易访问的平台
实际效果：支持多名安全人员快速查看、分析数据，实现对安全状况的快速、清晰研判

核心类比速记

SOC = 企业安全指挥中心（一线作战阵地，人员开展实操工作）
SIEM = 指挥中心的核心雷达（数据汇总枢纽，为人员提供研判依据）

Task4: Practical: Defend FakeBank

Copy source IP to start investigation

Block Source IP Address

Implement Rate Limiting

Update WAF(Web Application Firewall) Rules

Demonstrate your expertise

网络安全学习的第二天，了解了Defense Security也就是蓝队的相关内容以及很多新名词, SOC作为前线, SIEM作为雷达, 还有一些职业，安全运营中心分析师（SOC Analyst），事件响应专员（Incident Responder），安全工程师（Security Engineer），数字取证专员（Digital Forensics Specialist）。Task 4进行了一个实战演练，是一个Web Discovery Attack, 在admin endpoints上面检测到automated directory enumeration, 将source IP 复制就可以开始，通过Recommended Actions，包括Block source IP address. Review admin panel access logs.(这个没用到) Implement rate limiting. Update WAF rules. 就完成了这个入门学习。