王教主的博客

基于此特性，可利用SOC/SIEM技术，对全量告警进行分类，识别出关键告警，再将告警根据其攻击源或失陷主机的特征进行归并，从而将大量告警日志汇聚成少量以触发IP为核心的安全事件。通过建立基于ATT&CK各攻击技术的统计模型，评估组织内安全系统对攻击技术的覆盖，从而量化安全措施对现有攻击技术的防御能力。为进一步降低告警量，可以采取告警日志归并策略：按照日志的触发IP对告警进行归类，从而将大量分散的告警日志汇聚成以风险IP或失陷主机IP为中心的集合，此时，组织可筛选出存在问题的IP和问题IP的详细日志。

"内网穿透代理工具"是一种用于实现内网穿透的工具或软件。内网穿透是指通过公共网络（如互联网）将外部网络请求转发到内部私有网络的过程。在某些情况下，由于网络配置或安全策略的限制，外部网络无法直接访问内部网络中的设备或服务。内网穿透代理工具可以帮助解决这个问题，使外部网络能够访问内部网络中的设备或服务。服务器端：在内部网络中运行的服务器端组件，负责接收来自外部网络的请求，并将其转发到内部网络中的目标设备或服务。

随着网络攻击的不断演变和复杂化，传统的安全防御方法已经无法满足当前的威胁环境。仅仅依靠防火墙、杀毒软件等自动化安全解决方案已经难以抵御真正的攻击者。因此，2014年，国外提出了使用TTP战术、技术、程序的方法检测威胁。

ASA，英文全称Adaptive Security Architecture，中文称自适应安全架构，是由Gartner在2014年提出的安全体系，以持续监控和分析为核心，将防御、检测、响应、预测四个方面结合起来提供更好的安全服务，实现持续的自我进化，自我调整来适应新型、不断变化的攻击类型。授权，是指赋与某一主体可实施某些动作的权力的过程。PDR，是Protection、Detction、Response的简写，中文为保护、检测、响应，是最早的安全模型之一，早期的PDR是直线型的，还没有动态、循环的理念。

rsyslog 发送json格式syslog

流程：开启audit → 配置rsyslog读audit.log文件 → 转发到远端1.开启audit重启auditservice auditd restart确认audit.log产生日志cat /var/log/audit/audit.log2.配置rsyslog读audit.log文件编辑 /etc/rsyslog.conf，添加以下内容#audit log$ModLoad imfile$InputFileName /var/log/audit/audit.log$Inpu

场景：客户端与服务器加密通讯，需要使用非对称加密。过程：服务器向CA申请公钥：服务器要付钱。CA颁发给服务器2个文件：服务器秘钥文件、CA对此公钥的数字签名。客户端与服务器进行加密传输。3.1 服务器将 公钥进行hash运算，产生公钥hash。3.2 服务器将3个信息发送给客户端：公钥、公钥hash、CA对公钥的数字签名。3.3 客户端取机器内置的CA公钥解密“数字签名”得到公钥hash。3.4 客户端对比服务端发过来的公钥hash和算出来的公钥hash，如果一致则信任公钥。

风险的构成因素风险由以下要素构成：威胁threat(威胁、威胁事件 threat sources threat events)、脆弱性vulnerability、易感条件predisposing、影响impact、可能性likelihood、聚集Aggregation、不确定性Uncertainty威胁：指通过信息系统，通过未经授权的访问、破坏、披露或修改信息，可能对组织运营造成不利影响的事件。脆弱性：存在漏洞。易感条件：指组织信息系统中存在的条件，威胁事件一旦启动，对组织运营造成不利影响的可能

现代SOC的核心组成部分：威胁检测、响应。背景现在，组织相信整合各类告警的价值；但组织缺乏专业知识和工具，导致其不了解攻击、被动应对威胁。很多组织没有SIEM、不懂SIEM、不会用SIEM。本文将说明：检验安全团队的人员、流程和技术的有效性。买家对XDR的看法。买家对XDR的偏好和顾虑。XDR的关键价值。1：组织认为XDR能提高安全效率组织需要威胁检测调查显示，SOC团队需要更好的威胁检测和响应效率。安全团队认为TDR最关注的点是：改进高级威胁检测（34%）、自动化任务（33%

Wazuh概述wazuh是开源HIDS或XDR系统，能对服务器、虚拟化、容器、云进行威胁检测和响应。在安全领域有较高知名度，wazuh主要提供了一个检测框架，规则并不十分完善，需要使用者持续维护规则。官网为：https://wazuh.com ，文档地址为：https://documentation.wazuh.com/current/index.html，github地址为：https://github.com/wazuh/wazuh。截止2021年7月，wazuh开箱共3762条规则。覆盖操作系统

XDR研报转至元数据起始1. 概念? 1.1. 起源 1.2. 定义 1.3. 功能2. XDR兴起原因 ?3. XDRs工作内容?4. XDR优势?5. 市场 5.1. 市场采用率 5.2. 采购建议 5.3. 评价指标 5.4. 使用XDR风险 5.5. 代表厂商 5.5.1. cisco SecureX 案例 5.5.2. McAfee MVISION XDR6. 与XDR对比 6.1

shadow文件结构user:$6$X2w.CbqR$IH83vciPhgj.85yU33iS3m4fWf3gTGDxwg7EbUkt/XvhwZd/UAz9dxXzFzEx/dbpwG.cYCmm9yw8Lgp0:18731:0:99999:7:::使用冒号分割，第一个字段是用户名，第二个字段是密码hash。密码hash使用$分割为3部分，以此为例：密码hash字段结构$6$X2w.CbqR$IH83vciPhgj.85yU$6 标识使用第6种加密模式，即SHA-512$X2w.CbqR是加

风险评估模型很重要，任何一个风险，需要经过系统的评估才能确定风险的实际危害程度。毕竟安全也是一门科学。本文介绍DREAD风险评估模型。DREAD是原来微软的风险评估威胁系统的一部分。这里有一篇微软的论文 link。由于此模型不稳定，比如可发现性难衡量、可复现性很多场景下不重要等，实际使用过程中有时评分十分不准确，所以微软在2008年可能弃用了此模型，例如，在ASRC中，微软使用Bug Bar来定义威胁风险。DREAD提供了5个维度，进行威胁评级，每个维度0-10分。通过最后的评分确定威胁的严重程度。

问题docker内进行systemctl等命令时，出现错误。System has not been booted with systemd as init system (PID 1). Can't operate.Failed to connect to bus: Host is down解决方法docker启动方式需要变化。启动时添加 --privileged=true 和 /sbin/init即由此方式： docker run -tid --name test centos 变

功能项特征值病毒库、ICO启发式引擎可疑程序自动释放可执行文件驻留系统目录、伪装系统文件、注册win32服务获取系统管理权限、通过命令行删除自身文件，调用系统组件svchost.exe来开启后门服务，隐藏自身进程并尝试通过OpenSCManagerA、OpenServiceA、ControlService等函数来开启系统自身的终端服务等条件即可判断为恶意。威胁情报STIX2.0 包含的：域名、IP、文件、证书、网络连接等反漏洞hips防止提权、窃取凭证、各应用...

Linux后台运行进程时，通常使用如下方法：nohup "运行的内容" &windows响应功能的命令行为：call start /min "n" "运行的内容"

概述安全运营包含5部分：运营管理、事件预防响应、灾难恢复、违规调查、从业道德。安全运营项目表项目细分项描述运营管理知其所需权限最小化职责分离定期轮岗特权管理SLA资源管理(物理、虚拟、云、介质)配置管理基线变更管理影响分析、版本控制、配置文档补丁管理补丁、漏洞事件预防响应响应管理实践定义、响应计划落实检测措施日志检测日志、监测审计效果测评