ddos谨防攻击_香港高防服务器100g_怎么解决-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 网站防护 > ddos谨防攻击_香港高防服务器100g_怎么解决

ddos谨防攻击_香港高防服务器100g_怎么解决

小墨安全管家 2021-05-02 14:35 网站防护 89 ℃
DDoS防御
为了成功地举行调查,了事件发生的背景是特别重要的。当我们作为安全分析员开始调查时,我们不看任何一具警报或日志,并期望了解所发生事件的全部事情。相反,CC防御,我们会评估不同的妥协指标(IOC)或攻击的策略、技术和过程(TTP),以确定发出警报的上下文。这使我们对正在调查的警报或事件有了真正的了解。一旦我们了解了事件身边的因素,我们就能够做出明智的决定,在我们的环境中适当地补救和操纵事件。为了正确看待这一点,我将比较网络钓鱼和恶意软件调查,并向您展示怎么理解上下文将为您提供准确的信息,以便在调查过程中做出决策。分析用户行为以调查网络钓鱼攻击让我们首先使用Exabeam智能时刻线举行网络钓鱼调查。如下所示,我们在14:27和16:44收到了两个Palo Alto Networks针对用户Barbara Salazar(bsalazar)的警报。对于这两个警报,我注意到的第一件事是,用户出去寻觅一具恶意链接,接着下载一具恶意软件。那个信息是故意义的,但不能回答那个咨询题,那个用户是怎么得到恶意链接的?图1:Exabeam智能时刻线在用户点击恶意链接并下载恶意软件时显示两个警报。假如我们看一下13:55发生在Palo Alto Networks警报之前大约30分钟的事件,我们会发觉bsalazar收到了一封看起来可疑的电子邮件。一些惊险信号表明这是一封网络钓鱼邮件。首先,DDoS防御,发送方域是kyenergy[.]com,接收方在ktenergy[.]com。其次,为啥来自彻底不同域的用户在我的环境中发送工资单信息?这表明,Palo Alto Networks的两个警报大概是用户受到网络钓鱼攻击的结果。图2:在警报显示用户bsalazar收到钓鱼电子邮件之前调查事件。下一步是用恶意软件和电子邮件分析工具调查这封电子邮件的内容,以确定其有效性。利用Exabeam的剧本,我提交了这封电子邮件举行分析,CC防御,并收到了一份报告,证实了我的怀疑。自动分析的几个屏幕截图如下所示:图3:经过自动恶意软件和电子邮件分析工具运行可疑电子邮件的内容会产生大量详细的恶意指标。使用Exabeam智能时刻线和playbook automation,我们可以看到两个Palo Alto Networks警报背后的背景,并确定bsalazar的用户ID被引发警报的钓鱼电子邮件感染。了解警报的上下文能够让我们采取额外的补救措施,例如查看电子邮件日志,确定组织中是否有其他人收到类似的电子邮件。假如我们只思量Palo Alto Networks的警报,这么特别难正确地确定这起事件的范围,因为我们不了解导致此次调查的攻击媒介。分析实体活动以调查恶意软件攻击如今让我们将网络钓鱼调查与恶意软件调查举行比较。它们是相似的,因为两者都有关联的恶意软件,然而在恶意软件执行之前和之后所采取的操作是不同的。这改变了我们调查和补救事情的方式。在下面的报告中,我们看到Palo Alto Networks于17:46在lt-fweber-888系统上为用户Frederick Weber(fweber)发出警报。为了正确理解此警报,我们需要确定触发此警报的上下文,以验证它是真阳性依旧假阳性。图4:没有上下文,特别难确定恶意软件安全警报是真是假。假如我们看一下Exabeam中用户fweber的智能时刻线,DDoS防御,我们会发觉那个用户在14:20进入了域'dlknnlkaa[.]zoomer[.]cn',该域与位于中国的一具IP地址相关联。针对zoomer域的查询的URI字符串正在拉取文件野蛮人.jar. 14:21那个用户运行文件野蛮人.jar从temp名目。所有这些活动都发生在Palo Alto Networks发出警报前大约三个小时。图5:SmartTimeline显示了详细的用户活动和行为,包括访咨询的IP地址和执行的文件。假如我们然后调查那个用户的时刻轴,我们会看到他从15:02到16:20远程访咨询八个不同的系统。Exabeam分析和数据建模表明,该用户通常不访咨询这些系统,这是一具强有力的迹象,表明有人在横向挪移经过组织。接着在17:46我们看到帕洛阿尔托网络公司之前的警报。图6:异常实体行为的详细信息按时刻顺序显示在Exabeam智能时刻线仪表板上。将所有这些信息放在一起有助于我们了解那个用户和他的机器最初是啥时候受到危害的,它在他的机器上做了啥,以及那个用户的帐户是怎么在整个环境中横向挪移的。如今,我们基本在该用户的时刻轴上下文中建立了对此警报的坚实理解,我们能够开始执行其他调查任务并打算适当的补救措施。以下是建议的行动项目和调查任务,我们将依照我们对该警报的理解,经过调查用户fweber的智能时刻线来执行:调查此用户访咨询的所有八个系统的实体时刻线。(实体时刻轴基于实体行为而不是用户。)调查fweber系统lt-fweber-888的实体时刻线。查看代理日志,查看还有谁访咨询了zoomer域,以及是否有人访咨询位于中国的IP地址。搜索端点日志以确定文件是否野蛮人.jar正在其他地点使用。结论经过比较这两项调查,我们能够发觉,了解警报身边的环境通常比警报本身更重要。上下文允许您了解环境中实际发生了啥。反过来,这有助于我们作为分析员在各自的环境中正确地确定、调查和补救事故。

ddos谨防攻击_香港高防服务器100g_怎么解决


DDoS防御

当前位置:主页 > 网站防护 > ddos谨防攻击_香港高防服务器100g_怎么解决

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119