您现在所在位置:主页 > 服务器安全 >

防ddos_服务器防cc_解决方案

更新时间:2021-07-22

防ddos_服务器防cc_解决方案

网络钓鱼攻击剖析发现鱼叉式网络钓鱼攻击通常就像大海捞针。但是,您的安全运营中心(SOC)分析师可以使用logrythresponse的SmartResponse™ 以及人工智能引擎来快速检测和响应这些破坏性的漏洞。继续读下去可以看到SOC中心的logrythreshold。在这篇文章中,我们将介绍以下高级鱼叉式钓鱼用例的技术元素。检测异常首先,您的SOC中的分析员会收到内部主机与已知威胁列表主机通信的通知。LogRhym的威胁情报服务(TIS)集成了商业和SOC生成的威胁数据,然后能够使用AI引擎将这些数据与所有日志源关联起来。在这种情况下,防火墙日志数据触发了警报。图2:SmartResponse在与已知威胁列表主机进行内部通信后发出警报并执行通过查看警报,很明显logrythresponse已执行。在这里,您将看到触发了两个操作:阻止所有主机访问外部C2主机和阻止来自内部主机的所有通信。在确定没有发生恶意活动或威胁已得到有效缓解之前,怎么防御cc,这些操作将一直有效。图3:执行了两个SmartResponse操作识别恶意行为接下来,SOC分析员可以使用logrymethy的内置案例管理来开始响应。此过程首先附加案例证据并捕获SmartResponse操作的状态。深入研究警报的细节可以发现触发警报的原始日志消息,当警报被保留在监视列表中时。LogRhythm的内置上下文工具允许SOC分析员执行WHOIS数据库查找并确定C2注册。此查找可以提供活动性质的进一步上下文,并确定它是否符合恶意行为。为了节省时间,您的分析员可以使用"添加到案例"功能使更新调查工作成为一个一键式操作。图4:WHOIS数据库查找获得C2注册以c2ip地址为轴心,可以揭示异常通信时间段内的所有日志源活动。使用"自定义分析"结果视图,所有看到与此事件相关的活动的日志源将立即变得明显。这些源包括用户(bsmith)、源主机(LRXM)和目的地C2(网站). 分析人员还可以了解日志类型,如DNS查询、网络允许和拒绝。图5:LogRhym网格视图显示了对日志活动按时间顺序的洞察确定网络连接的来源LogRhym网格视图使您能够按时间顺序查看DNS查询和响应的发生情况。根据我们与Palo Alto Networks集成收集的日志,查询后是"Network Allow"响应。接下来,由我们的合作伙伴Sysmon记录的端点接收到"Network Deny"响应。此终结点包含报警触发行为。Microsoft Sysmon是推荐的企业日志源。它需要提供SOC分析员所需的法医日志数据,而不是EDR日志源。LogRhythm能够利用Sysmon提供的丰富数据。Sysmon日志源显示一个"eventid3:networkconnection"。进一步检查后,此日志显示Powershell.exe是用于建立与C2主机的网络连接的源进程。这不是一个正常的行为,因此它被标记为进一步调查,并添加到案件中。图6:Microsoft Sysmon日志源显示异常行为瞄准威胁现在分析师已经确定Powershell.exe进程作为建立连接的源,他可以清除过滤器并切换到专用的Sysmon视图。logrythym7.3特性允许您将一组Lucene过滤器全局应用于仪表板或分析视图。从所有流程活动的仪表板视图开始。确保在此仪表板中显示子流程和父流程活动。图7:创建新的仪表板以查看所有Sysmon流程活动在下面,您可以看到Sysmon父进程和子进程分析布局,其中显示了Sysmon针对相关主机的所有进程活动。通过logrythym7.2.X的附加元数据过滤器,anast可以清楚地看到子进程(粉红色)和父进程(蓝色),以及用户(bsmith)和登录会话。图8:Sysmon流程活动应用筛选器以查找PowerShell进程。图9:应用过滤器的Sysmon流程活动现在,分析人员可以快速清楚地看到PowerShell进程(进程ID为4004)是由Excel.exe,一个不寻常的父进程。检查PowerShell元数据记录可以发现更多有趣的活动。Microsoft Sysmon捕获了进程的完整命令行活动,并将其解析到命令字段中。图10:异常大的PowerShell命令PowerShell命令是一个非常大的PowerShell,并且包含模糊字符。这是PowerShell的一个特性,它使分析员能够运行编码的命令。虽然这个功能可以合法使用,但它也被恶意软件作者用来隐藏他们的活动。在将此日志添加到案例中并注意到异常行为之后,分析员可以运行一个logrythymartresponse,高防tcp防御cdn,它可以在一个控制台中解码编码的命令!图11:SmartResponse解码编码的命令这有助于您的SOC分析师简化他们的工作流程,因为不需要签出到另一个工具。它还可以帮助以更安全的方式运行某些有风险的操作,并且在处理危险的链接和代码时防止出错。图12:LogRhym Base64编码/解码SmartResponse的输出得到的SmartResponse输出显示了一个PowerShell命令,该命令可以访问internet并下载内容。分析人员还可以发现PowerShell进程访问已知的C2主机的目的,并查看发送到C2的一些附加参数,以及似乎是下载的文件。接下来,分析员可以在案例报告中记录qqwed并开始四处寻找。分析员可以使用集成的"添加到案例"功能来快速将发现添加到案例报告中。现在分析师知道PowerShell是由Excel.exe,电脑如何增加ddos防御,他需要确定PowerShell.exe启动了其他进程。范围PowerShell.exe违反应用PowerShell作为父进程筛选器会显示它确实启动了svchost.exe子进程。这是一个合法的Windows进程,但是可以通过从已知的、可信的源启动它来隐藏恶意活动。图13:应用PowerShell作为父进程过滤器正在查看SVChost.exe过程中,分析员可以看到命令行参数与解码后的PowerShell下载代码的输出相匹配。图14:命令行参数与解码的PowerShell下载代码的输出匹配看来入侵者试图下载一个文件。应用程序,qqwed.exe文件,wayos如何防御ddos攻击,分析员可以看到文件是由成功启动的主进程. 可疑的恶意文件确实执行了!关于这个文件我们还能找到什么?此时,分析员应该从恶意进程中寻找其他操作或活动,例如进一步的网络调用或子进程。然而,在这种情况下,链中似乎没有进一步的恶意行为。这可能是由于logrythresponse阻止了来自源主机的通信和对C2的所有访问。这是目前为止的理论。图15:SmartResponse命令进一步回顾导致Excel.exe过程早些时候,分析师发现Excel.exe启动了PowerShell,这很奇怪。他还能再往后看吗?执行相同的父进程和子进程过滤器,阿里云ddos防御,分析人员可以发现Outlook.exe推出Excel.exe. 此外,还有一个临时文件是从同一个父进程ID创建的,这个文件名为发票.xls.这是Sysmon的另一个特性。它可以对新文件和正在更改的文件时间戳执行文件系统监视。图16:Sysmon对新文件和更改的文件时间戳执行文件系统监视确认网络钓鱼攻击分析员现在可以开始描绘从案件调查到现在的情况。BSmith启动了Outlook,在Excel中打开了一个电子表格附件(发票.xls),还有那个Excel.exe生成了一个PowerShell.exe.他能确认并发现BSmith收到一封邮件发票.xls作为附件?通过高级搜索,分析员可以查找对象元数据字段或原始日志消息。他可能不知道在此阶段将日志解析到的元数据字段,但可以使用elasticsearch来获取搜索结果"发票.xls"并迅速取得结果。然后,搜索结果将应用于NetMon特定的分析布局,在这个环境中,它捕捉进出服务器的所有电子邮件流量。分析员将看到一封主题为"过期发票"和发票.xls"依恋。现在他找到了网络钓鱼攻击的原始邮件和起源。使用NetMon响应分析员可以使用logrythymnetmon下载PCAP或通过WebUI从集成中自动提取文件。这又将有助于将分析员留在一个地方,并加快响应和调查过程。图17:NetMon可用于下载PCAP通过更新"分析布局"过滤器,分析员可以查找来自仿冒邮件发件人的所有电子邮件,并且查看的不仅仅是发送给Bsmith的电子邮件,以确定此电子邮件是否发送给组织中的其他人。答案是肯定的。图18:更新Analyze布局过滤器以在网络中查找其他网络钓鱼电子邮件在本例中,建议创建与原始流程案例链接的更多子流程案例。不过,目前,分析师应该在更新triag案例之前执行一次最终分析

上一篇:香港高防cdn_服务器防御价格_超高防御

下一篇:没有了