HW-利剑工具箱（3）

目录

  0x01 利剑工具箱-产品介绍
  0x02 利剑工具箱-安全与配置
  0x03 利剑工具箱-事件分析说明
  0x04 利剑工具箱-案例

0x01 利剑工具箱-产品介绍

0x02 利剑工具箱-安全与配置

1️⃣设备上架-提前准备

2️⃣设备上架-工具箱上电及接线

BMC

基板管理控制器，是用于监控和管理服务器的专用控制器，普通PC没有，服务器产品必备，相比于普通PC，服务器在稳定性、可靠性、安全性、性能、可管理性等方面都要求更高更严酷，这时候就需要BMC来管控服务器
BMC的主要功能包括：
   ● 设备信息管理：记录服务器型号、制造商、日期、各部件生产和技术信息、机箱信息、主板信息等、BMC信息（服务器主机名、IP、BMC固件版本等信息）
   ● 服务器状态监控管理：对服务器各个部件（CPU、内存、硬盘、风扇、机框等）的温度、电压等健康状态进行检测
   ● 服务器的远程控制管理：服务器的开关机、重启、维护、固件更新、系统安装等
   ● 维护管理：日志管理、用户管理、BIOS管理、告警管理

3️⃣通过web页面修改IP地址

4️⃣流量接入配置

镜像
镜像是指将经过指定端口（源端口或者镜像端口）的报文复制一份到另一个指定端口（目的端口或者观察端口）
流镜像
流镜像是指在设备上配置一定的规则，将符合规则的特定业务流复制到观察端口进行分析和监控

5️⃣流量接入成功验证

0x03 利剑工具箱-事件分析说明

这种疑似的数据包就需要hw人员通过人工去鉴别

各类日志逻辑关系

1️⃣网络威胁分析

主要展示源IP、目的IP、攻击方式
以攻击方式进行筛选，筛选出攻击/受攻击频率最高的IP
以攻击源IP进行筛选，攻击频率/攻击方式最高的IP封禁掉
例：
①一个源IP——多种攻击方式——一个目的IP
这种大概率是扫描器
②SNMP private access udp
可能会导致网络设备被控

2️⃣恶意文件分析

常见恶意文件类型
trojan（木马）、viruses（病毒）、Downloader（下载器）、BackDoor（后门）、worms（蠕虫）、Locker（勒索）
主要显示：恶意文件源IP、目的IP、协议、恶意行为等

3️⃣失陷主机分析

失陷主机分析面板主要分析勒索软件流量、挖矿流量、连接C&C控制器流量和永恒之蓝漏洞传播流量，通过此面板可以快速的分析出已经中病毒的主机。失陷主机意味着对应主机已被攻破，需要让客户立即处理

4️⃣常见协议统计分析
5️⃣WEB业务系统统计分析

6️⃣内网IP扫描分析

内网IP扫描分析面板主要针对内网主机的网络行为进行分析，正常办公PC是不会有横向扫描行为的，通过源IP与其他主机的连接范围以及连接的端口情况可以判断出主机是否有横向扫描行为
例
一台主机对多个目的IP进行连接，且有规律和频率
这就是内网横向扫描行为

7️⃣服务器资产分析

①服务器一般不会主动向外连接
②不太常见的端口，有可能是木马连接端口

溯源分析

线索：安全事件、基础事件、用户反馈、异常流量等
证据：审计日志、第三方设备日志等
印证：时间点、行为特征、用户行为

0x03 利剑工具箱-案例

1️⃣案例1-业务系统故障

2️⃣案例2-内网横向扫描

3️⃣常见问题

Q：安全事件特别少是怎么回事？
A：产品默认出厂配置的网段是标准的内网网段，需根据客户的实际情况对内网进行配置，否则IDS不会检测非保护网络中流量
Q：网页访问日志中没有请求和响应的内容是怎么回事？
A：产品默认不采集HTTP协议的实体数据，如果想看的话，需要在流量采集配置中打开实体数据采集功能
Q：为什么文件查询页面会有大量样本“未知威胁检测”列显示“待检测”
A：沙箱处理文件时需要一个检测时间，当业务峰值时会有一个瞬间积压，一段时间后待检测文件会被处理完成，且这种积压不会影响系统的正常运行
Q：如何处理确认安全的相同文件的重复检测问题？
A：可以在“策略管理>文件黑白名单”中添加该文件的MD5，沙箱不会对该文件进行重复检测，以此来提升检测效率和威胁效率
Q：如何解决工具箱无法自动升级的问题？
A：首先检查御剑是否能够连接外网，然后再看DNS是否配置了，如果还有问题需要联系技术支持
Q：如何检查沙箱的工作正常？
A：查看配置–>检测配置–>沙箱配置中，沙箱状态处于正在运行，然后手动提交一个样本（如：word），在合理的时间范围内页面返回分析结果，则说明沙箱工作正常
Q：工具箱日志外发配置后接收端收不到日志？
A：确认网络路由可达，其次接收端端口是否开放，最后在接收端网口抓包，如果抓到包则说明接收端未开启接收功能，如无则联系技术支持解决
Q：安全事件与其他四类威胁数据的区别是什么？
A：安全事件是将网络攻击事件、恶意代码事件、威胁情报事件、异常行为事件按一定的关联规则进行关联后产生的威胁事件
Q：为什么首页态势地图上的看不到攻击动态线？
A：攻击链路是实施监控，显示最新10条威胁攻击链路，如果是内网威胁，则攻击动态线是为一个点，如果是来自外部的攻击，则会展示来自外部的攻击动态线