红蓝对抗-蓝队att&ck&IDS&蜜罐&威胁情报
专业用语-ATT&CK技术简要介绍-报告书写
- https://attack.mitre.org/matrices/enterprise
- 国内有ATT&CT参考手册,可以下载参考学习。
掌握了解-安全攻防蜜罐技术的利用-配合威胁
Hfish部署配合在线威胁平台实现自动分析,记录攻击者攻击手法及攻击过程,攻击IP等信息可作为黑名单。
攻击拦截-WAF安全产品部署及反制-多种中间件
安全狗支持的中间件比较少,推荐使用Openrasp.部署OpenRasp之后,网站数据包会携带请求头X-Protected-By:OpenRasp,我们测试的时候可以留意一下。还有默安和长亭蜜罐
追踪反制-HIDS入侵检测系统部署测试-爆破|提权|规则
- NIDS:网络入侵检测系统
- HIDS:主机入侵检测系统
yulong-hids:优点:中文规则说明等-规则
wazuh:ELK日志,攻击行为分析等-爆破|提权
- 实现入侵行为分析,日志实时监控,规则触发拦截等功能
- https://documentation.wazuh.com/4.0/index.html
驭龙HIDS规则引擎
应急溯源-威胁情报平台对于溯源分析意义-CS后门溯源
威胁情报是指:基于一定知识的证据,已经存在或正在形成的潜在威胁,比如,上下文、机制、指标、意义以及可实施的建议,利用这些,可以帮助当事人形成应对这些危险的决策。 预测(基于数据)将要来临的的攻击。威胁情报利用公开的可用资源,预测潜在的威胁。网络威胁情报可以帮助你在防御方面做出更好的决策,可以得到以下好处。
- 组建一个安全预警机制,在攻击发起之前知道它
- 对安全事件提出更好的解决方案
- 网络威胁情报为你提供最新的安全技术信息,帮助封锁出现的威胁
- 对相关的危险进行调查,开展利益分析
- 要寻找什么:恶意IP地址、域名/网站、文件哈希(恶意软件分析)、受害领域/国家
威胁情报平台
微步威胁平台
- https://x.threatbook.cn/
- 中国首家专业的威胁情报公司。它是国内第一个综合性的威胁分析平台,秉承公开、免费、自由注册的原则,为全球的安全分析人员提供了一个便利的一站式威胁分析平台,用来进行事件响应过程的工作,包括:事件确认、危险程度和影响分析、关联及溯源分析等。
- 主要特征如下:自由公开的服务、多引擎文件检测、行为沙箱、集成互联网基础数据、集成开源情报信息、关联分析、机器学习、可视化分析
奇安信威胁情报中心
- https://ti.qianxin.com/
- 360 Alpha威胁分析平台,是360企业安全为安全分析师提供一站式分析工具(云端SaaS平台),具备完备的威胁情报和互联网基础数据,在数据覆盖度、信息种类、数据的时间/空间跨度都具备较大优势。
- 在功能方面,Alpha平台包括有4大模块:威胁研判模块可以直接判定报警真实性、了解攻击团伙/软件的意图和能力,进而快速筛选出真实、重要的报警;威胁关联分析模块,针对无法直接判定的分析对象,可一键自动化分析域名、IP、注册信息和样本间的关联信息,同时还可以生成攻击者画像信息;文件深度分析模块,用于了解恶意软件的详细的静态、动态行为,并提取IOC形成自己的威胁情报;分析任务管理模块可以将一次攻击事件所涉及到的域名、IP、样本等信息进行整合并统一管理,后续还可以依照标准威胁情报格式STIX,进行威胁情报分享。
360威胁情报中心
- https://ti.360.cn/#/homepage
- 可以根据IP、Domain、 HASH(MD5,SHA1,SHA256)、CA(MD5,SHA1,SHA256,SKID)查询威胁情报。
绿盟威胁情报中心
- https://nti.nsfocus.com/
- 绿盟科技旗下的威胁情报中心,支持中文搜索,但是需要注册登录查看更多的信息
- 主要特征如下:输入客户名称、安全事件名称、攻击组织名称、攻击工具名称、IPv4、IPv6、域名、漏洞名称/编号、文件Hash(MD5/SHA256) 或任意关键字
VenusEye威胁情报中心
- https://www.venuseye.com.cn/
- VenusEye威胁情报中心是由启明星辰集团倾力打造的集威胁情报收集、分析、处理、发布和应用为一体的威胁情报云服务平台,提供威胁情报数据、系统、技术和专业能力的输出。 主要特征如下:IP、域名、文件HASH(MD5/SHA1/SHA256)、邮箱、证书指纹(SHA1)
安恒威胁情报中心
- https://ti.dbappsecurity.com.cn/
- 提供海量内外部威胁情报数据、恶意样本行为数据、黑客组织画像信息等查询服务, 帮助安全运营者对攻击报警进行研判,通过多源情报关联信息, 挖掘攻击事件背后的动机 主要特征如下:域名、IP、邮箱、文件Hash、字符串
360网络安全研究
- http://netlab.360.com/
- 360旗下的安全实验室,擅长从全球流量动态分析漏洞蠕虫木马等恶意攻击行为,并且联合历史流量、情报信息进行综合分析。
- 主要特征如下:被动DNS检测(https://passivedns.cn/)、DDOS恶意攻击纪录(https://ddosmon.net/)、网络扫描行为监控(https://scan.netlab.360.com/)、开源情报信息(EK, DNS DGA, MalConn(sample network behaviour), Mirai scanner, Mirai C2 and DRDoS Reflector)(https://scan.netlab.360.com/)
AlienVault
- https://otx.alienvault.com/
- 可以访问威胁研究专家和安全专家全球社区。它递送社区产生的威胁数据,能够协作各个来源的威胁数据,自动更新你的安全基础设施。其收购了threatcrowd,拥有IP、域名、文件、邮件等情报
- 主要特征如下:垃圾和钓鱼页面、恶意软件和间谍软件、匿名代理攻击和P2P网络、暗网IP地址(使用TOR)、管理僵尸网络的C&C服务器、域名、IP地址、邮件地址、文件哈希、杀软检测(https://www.threatcrowd.org/)
ISC SANS威胁检测
- https://isc.sans.edu/
- 在成功检测,分析和发布Li0n蠕虫警告后,ISC于2001年创建, 今天,ISC为成千上万的互联网用户和组织提供免费的分析和警告服务,并且正在积极与互联网服务提供商合作,以打击最恶意的攻击者。
- 主要特征如下:关键词、IP、域名、页头
RedQueen安全智能服务平台
- https://redqueen.tj-un.com/IntelHome.html
- 天际友盟的情报应用解决方案已在国内多家政府机构,以及金融、互联网、通信、能源等行业的多家龙头企业得到实践,通过综合应用多项业内领先的情报应用技术,为服务的客户切实解决了多项重点、难点安全问题,辅助企业持续完善安全体系,提升安全能力,彰显安全价值。 未来,天际友盟还将继续秉承“应用安全情报,解决实际问题”的品牌理念,从客户的实际问题出发,深耕安全情报技术的实践应用,与客户及众多合作伙伴一道,为打造更安全的未来而努力。
- 主要特征如下:安全情报、漏洞情报、最新资讯、威胁溯源、自由公开的服务、集成互联网基础数据、集成开源情报信息、关联分析、机器学习、可视化分析
IBM情报中心
- https://exchange.xforce.ibmcloud.com/
- BM X-Force Exchange 是一款基于云的威胁情报共享平台,支持使用、共享威胁情报并采取行动。它支持快速搜索全球最新安全威胁,汇总可操作情报、向专家咨询并与同行进行合作。IBM X-Force Exchange 由人员和机器生成的情报支持,可利用 IBM X-Force 的规模来帮助用户在新兴威胁面前保持领先地位。
Alipay
Wechat
最后一次更新于2022-06-15 08:32
0 条评论