您现在所在位置:主页 > 服务器安全 >

cdn防御_服务器防护系统_打不死

更新时间:2021-07-23

cdn防御_服务器防护系统_打不死

挑战Microsoft Windows PowerShell是一个功能强大的脚本环境。提供PowerShell执行策略是为了让您确定运行脚本的条件。默认选项是"Restricted",ddos攻击分析与防御,它不允许运行任何脚本。您可以在下面的列表中找到其他选项的摘要。选项说明不受限制可以运行未签名的脚本远程签名需要来自Internet的脚本(包括电子邮件和即时消息程序)的受信任发布者的数字签名,但不需要对在本地计算机上编写的脚本进行数字签名全部签名要求所有脚本都由受信任的发布者签名,包括您在本地计算机上编写的脚本旁路没有任何内容被阻止,也没有警告或提示未定义当前作用域中没有设置执行策略请参阅此处的完整描述。执行策略的目的不是阻止用户运行未经批准的应用程序。相反,它是一种防止攻击者运行用户未批准的脚本的方法。这是一个重要的区别,因为有权访问PowerShell的用户可以在交互式提示符下运行任何他们喜欢的命令。执行策略的设计不是为了控制作业由Windows帐户模型执行。有关进一步阅读,请参阅这篇Microsoft文章。那么,如果您对防止攻击者运行用户未批准的脚本感兴趣呢?如果大多数未签名的脚本都无法执行,那么"最理想的情况是,大多数未签名的脚本都不会有执行的动机"。尽管AllSigned是最严格的执行策略,cf防御cc规则,但问题是它仍然有运行已签名但恶意脚本的风险。有决心的攻击者会不遗余力地确保他们的攻击成功,签名的PowerShell脚本肯定是"在野外"看到的东西简短的回答通过从CAPI2事件日志收集Windows Crypto API日志,可以检测正在执行的签名PowerShell脚本,并使用AI引擎在脚本运行时由意外发布者签名时发出警报。解决方案(或冗长的答案!)实现这个用例有几个步骤。首先,从CAPI2日志源收集日志。可以在Windows事件查看器中找到此日志源。默认情况下不启用此日志,因此右键单击并启用或右键单击,选择"属性并启用"。(在本例中,我还将环境中的默认最大日志大小从1MB扩展到4MB。)然后,创建一个新的日志源类型,并在logrythure中设置日志源集合。CAPI2日志源以XML格式记录事件,cc防御设置多少一秒,因此常规收集不会返回很多有用的信息。幸运的是,网吧防御ddos,您可以针对日志源启用直接XML收集,并收集您感兴趣的信息。现在,您可以开始解析日志了。下面是CAPI2日志处理策略的一组基本regex。与之配套的还有许多子规则,它们将有助于更精确地检测正在发生的活动。我可以与任何感兴趣的人分享(只需在下面添加评论),但我也会在适当的时候将它们添加到知识库中。为了简洁起见,我不在这里列出它们。所以在分析了日志之后,你在寻找什么?在PowerShell中启动脚本时,会检查数字签名。证书链本身是构建和验证的。最后,如果证书有效且签名与正确的文件内容匹配,则记录结果代码为零的EventID 81。从中,您可以看到管理员在PowerShell进程下运行了一个脚本,并且签名已成功验证。但你不知道谁是脚本的发布者只是从这个日志。当检查PowerShell脚本的数字签名时,会记录一系列事件ID(通常为80、10、11、30、90和81)。这些事件都由TaskID链接,因此您可以跟踪相关事件。EventID 11包含脚本发布者的名称,因此需要获取相应的事件。在这里,您可以在"主题"字段中看到发布者的名称。在本例中,它是"PowerShell User"。(这是我自己的自签名证书。)现在您已经准备好了所有的部分,您可以创建一个AI引擎规则来警告您的环境中运行的PowerShell脚本,这些脚本是由您不信任的发布者签名的。您创建了一个名为"Whitelisted PowerShell Certificates"的列表,您可以在其中添加为此目的信任的发布者的名称。警报将提供用户名、脚本名称、启动脚本的路径和发布者名称。您还可以在脚本经过数字签名,不限流量高防cdn加速,但由于某种原因无法验证签名时发出警报。当然,如果选择AllSigned配置,脚本将不会执行,但这提供了尝试的可见性,这也是有用的信息。您还可以使用行为基线规则或允许的脚本名称列表。一旦你在系统中有了日志,你可以问他们任何你喜欢的!价值观通过使用LogRhym从任何日志源收集和解析日志的能力,并深入了解这些日志的实际含义,您可以获得对活动的补偿控制,否则可能会保留您的CISO(或您!)晚上醒着。要了解有关创建AI引擎规则的更多信息,请单击下面的按钮。更多关于人工智能引擎LinkedIn Twitter Facebook Reddit电子邮件