护网设备的使用

设备概念

IPS
IPS代表入侵防御系统（Intrusion Prevention System），它不仅可以检测入侵行为，还可以主动采取措施进行防御。

IDS
IDS代表入侵检测系统（Intrusion Detection System），它通过监视网络流量、日志和系统事件来检测潜在的入侵行为。IDS基于预定义的规则或行为模式，分析网络流量和事件，以发现可能的安全漏洞、异常行为或已知攻击的迹象。一旦检测到可疑活动，IDS会生成警报通知相关人员进行进一步的调查和响应。

蜜罐

部署一些作为诱饵的主机，诱使攻击方对蜜罐进行过攻击，对攻击方的攻击行为进行捕捉和分析，了解攻击方使用的工具和方法，从而增强增强真实系统的安全防护能力。

WAF

web应用防火墙，专门针对于HTTP和https请求，对客户端的请求内容进行检测，确保其合法性和安全性，还会对非法的请求进行及时的阻断。

天眼的使用

主要用天眼进行流量分析和流量监控，并且可以用他的日志检索模块进行溯源。

检索语法

dip ：被攻击的 ip
dport：被攻击的端口
sip：源ip
sport：源端口
uri ：请求的 url 地址
data：请求包的正文内容
status：响应包的状态码
host：域名
client_os 系统 运算符 AND(AND或&&或+)OR(OR或||)ix.NOT(NOT或!或-)

天眼构成

①流量传感器(探针)②文件威胁鉴定器(沙箱)③分析平台④天擎(若有)

天眼菜单界面

流量传感器:状态监听，威胁告警，规则配置，策略配置，系统配置
分析平台:威胁感知-告警列表，分析中心-日志检索

告警类型

企图;成功;失陷;失败
 

天眼或者传感器上出现 命令执行告警，怎么应对?

1、验证此条告警是否真的成功?(成功的话，直接就可以出报告了)
2、失败的话，判断攻击者是手工还是扫描工具批量行为?
3、进入分析平台进一步分析，查看分析平台攻击IP除了文件上传以外是否存在其他攻击行为，攻击结果如何?
4、将发现时间及攻击行为反馈给护网客户

如果天眼设备上短时间内有大量告警，你会怎么进行分析?

根据轻重缓急进行筛选查看，从高危到低危，从命令执行到目录遍历这种等

天眼日志检索功能使用

1、在“分析中心”-“日志检索”模块，选择“高级模式”-“web访问”，再填写检索语句，再点击搜索
2、如果不知道具体的描述字段名？
在日志检索页面的左边，有一个展示字段，也就是说我们需要去记字段名，我们可以通过可视化界面把需要的字段进行选中，点点点就行了

天眼怎么判断受到了攻击？

规则库匹配，给出告警

天眼使用流程

1、天眼的作用

    1.1、从部署角度来讲：首先是从核心交换机上镜像流量到探针，探针内部有规则库，会进行第一波分析，然后分析的结果会交给分析平台处理，然后分析进行整合

    1.2、从使用者的角度：在“威胁感知-告警列表”里面进行筛选，进行有针对性的分析

2、攻击结果分为：失败(0)-企图(1)-成功(2)-失陷(3)

3、威胁级别分为：低危-中危-高危-危急

4、首先打开“威胁感知-告警列表”，然后筛选出成功和失陷的告警，然后筛选出威胁级别为高危和危急的告警

5、然后对每条告警进行分析：需要注意五元组信息：源IP、源端口、目的IP、目的端口、协议，然后就是对数据包进行分析

6、天眼的升级（包含探针/分析平台的规则库和系统升级）

    6.1、天眼支持在线升级和手动导入升级包的方式进行升级，客户基本上都是手动升级，因为在线升级需要开策略，比较麻烦，一个是访问公网的行为比较危险

    6.2、手动升级步骤：从天眼公有云系统上下载最新的升级包，然后在天眼的系统设置里的升级栏里面导入升级包进行升级