前言:
今天就不学习,有更重要的事情
明天写,还有一点感觉逻辑不通
正题:
面试题
今天学习安全设备的使用
依托全流量分析、NDR、EDR、WAF、蜜罐等多源安全设备
我需要知道了,这上面几种设备是什么,做什么用的,实际案例分析
问ai了
全流量分析/ndr,用过奇安信的天眼,主要分析网络流量,像检测c2通信,扫描爆破,常见告警就是dns请求异常,解析很长的随机域名,会结合全流量回溯去看请求的完整上下文
edr用过青藤,主要看服务器和终端的进程,注册表,网络连接,常见告警如powershell下载执行,mshta启动可疑进程,我会重点看父进程和命令行参数
waf用过长亭雷池,主要看web攻击,看sql注入和xss攻击,我处理过sql注入测试绕过的告警,会看请求的ua和refer,区分扫描和手动尝试
蜜罐接触过尾部在线,主要是铺货攻击者的攻击手法,来加强和维护未受攻击的机器
window事件日志
4624 登录常规
4625 登录失败
4634 注销成功
4672 使用超级用户,如管理员进行登录
4720 创建账户