2024HW 天眼&NGSOC告警分析学习笔记

已于 2024-06-09 13:15:22 修改
阅读量941 收藏 23
点赞数 1
分类专栏: 安全服务与应急响应 文章标签: 安全设备 网络安全 应急响应
于 2024-05-09 12:18:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51339377/article/details/138603862
版权

目录

天眼系统基础知识学习

天眼系统常见协议字段和语法分析学习

天眼日志检索语法

协议字段学习

天眼告警的监测与分析

XML实体注入知识点补充

天眼系统基础知识学习

奇安信天眼的部署架构图如下:

天眼设备中传感器的介绍:

防火墙一般的页面:

这是流量传感器的整体导航图:

接下来是天眼的分析平台:

可以发现这个分析平台,某种程度上是一个用户的汇总终端,汇总了来自刚才学习的流量传感器的内容,并且进行了展示,适合操作者进行总体上的操作把控。

接下来是文件威胁鉴定器相关的内容:

基本功能如下:

整体上来说,类似于一个对于受控主机内部文件的一个app,就像每个系统上安装了杀毒软件一样

天眼系统常见协议字段和语法分析学习

天眼日志检索语法

常见的逻辑运算符

AND    &&     +

OR     ||

NOT     !       -

协议字段学习

接下来补充一下计算机网络基础课中关于TCP和UDP协议的内容:

自行补充TCP的三次握手和四次挥手相应的ack等的字段数值规律

UDP协议:

TCP和UDP的协议字段:

补充一下HTTP需要用的协议字段:

HTTP的状态码:

DNS的协议字段:

ssl协议的字段:

文件传输协议字段:

登录协议:

邮件协议:

数据库操作:

天眼告警的监测与分析

大多为基础知识,都已经熟练掌握。补充如下内容:

接下来是关于命令执行漏洞的补充:

再补充一点我不太熟悉的XML外部实体注入漏洞的知识:

XML实体注入知识点补充

Simon_Smith
关注
  • 1
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
全方位多领域全层级监控利器--天眼智能监控告警平台
weixin_40926179的博客
03-20 2717
全方位多领域全层级监控利器--天眼智能监控告警平台 建设背景 在全力加快数字化转型过程中,IT系统的架构演进不断升级,大量新兴技术及组件在生产系统中得以推广应用,如何提升监控的准确性,及时性,增强用户感知,保障生产系统稳定运行,是目前面临的一大挑战。目前遇到的痛点影响了运维问题处理的准确性。 全层级监控多样化告警解决方案 作为天眼体系的一项基础监控产品,平台提供IaaS、PaaS、SaaS各层级监控能力,支持全流程可视化配置,具备多样化告警通知方式,实现告警工单闭环管理。用户可快速实现监控接入,为系
NGSOC-360态势感知与安全运营平台产品技术白皮书
01-09
高级可持续性威胁(APT攻击)频发,传统的安全防御手段不足以应对未知安全防御,加之攻击者与防御者在信息上不对称,溯源分析难以实施,为此360面向应对高级可持续性威胁(APT攻击)推出NGSOC架构下的态势感知产品,该份系公开资料,供有关人士参考。
奇安信天眼新一代威胁感知系统的初步认识及使用~
08-03
天眼安全设备的初步认识及使用,其中也讲了Web类攻击思路,蠕虫类告警分析,爆破(ftp爆破和ssh)和踩点分析,着重讲了天眼针对Web类的告警分析, (信息泄露,弱口令,XS攻击,XXE,SQL注入,文件上传,文件包含,webshell,命令执行) 也讲了天眼威胁情报 (木马远控,挖矿木马,勒索病毒,僵尸网络,黑市工具 )适合新手小白看,如不正确,请大家及时批评指正~ #回头看,轻舟已过万重山;向前看长路漫漫亦灿灿#
2022护网日记,护网工作内容、护网事件、告警流量分析
热门推荐
wangyuxiang946的博客
08-20 4万+
护网中遇到的攻击事件。 护网中各个岗位的工作内容。 常见告警流量分析
奇安信天眼_探针/分析平台部署及联动
呦菜呦爱玩的博客
03-10 1万+
奇安信天眼主要包括威胁情报(软件)、分析平台(硬件)、传感器(硬件)和文件威胁鉴定器(硬件)四个模块组成。一般仅需分析平台,流量传感器(探针)这2台设备配合使用。天眼分析平台用于存储传感器提交的流量日志、告警日志以及文件威胁鉴定器提交的告警日志。天眼传感器主要负责对网络流量的镜像流量进行采集并还原,还原后的流量日志会加密传输给天眼分析平台。
天眼初步认知及使用大汇总
m0_74271951的博客
08-03 1299
介绍天眼的一些内容,着重讲了天眼告警分析中Web类告警分析(信息泄露,弱口令,XSS攻击,XXE,SQL注入,文件上传,文件包含,webshell,命令执行.)和威胁情报 (木马远控,挖矿木马,勒索病毒,僵尸网络,黑市工具)适合初学者~
告警分析应急响应流程
tlucky的博客
04-16 3246
1.威胁情报类告警分析流程 1.确认事件的真实性 2.查询IOC的情报信息——IOC的时效性、相关的情报信息等 3.定位受害ip,确定攻击ip是在内网还是外网 4.排除误报,排除因内部人员操作引起的误报 5.关联分析——定位被扩散的资产,攻击源是否进行了横向渗透,进行了哪些相关的操作,造成了何种后果 6.溯源分析 把时间向前推进5-10分钟,是攻击者首次攻击的时间,分析攻击者是以哪种漏洞进行攻击的,什么方式,何种手段攻击进来的,我们要以何种方式去解决 7.提出处置建议+出报告 2.应急响应流程 应急响应流程
态势感知与安全运营平台NGSOC.pptx
09-29
态势感知与安全运营平台
Hvv(三)
qq_53142368的博客
07-06 2178
HW-小记(2)
SOC安全运营中心产品
煜铭2011
01-06 9130
0x00 背景 SOC( Security Operations Center) 安全运营中心,单独依赖于某些安全产品,在效果上总感觉有一个孤岛效应,从安全工程的角度来说,将安全工程化、系统化、流程化是一个更好的趋势,把安全过程中的有关各方如各层次的安全产品、分支机构、运营网络、客户等纳入一个紧密的统一安全管理平台中,尝试先构建一个完整的底层基础平台,再有的放矢地去完善管理、制度、策略...
网络安全防御与网络应急
11-20
英文中应急响应有两种表示法,即Emergency Response和Incident Response,其含义是指安全技术人员在遇到突发事件后所采取的措施和行动,而突发事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题,也包括网络范畴内的问题,例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。 声明:个人演讲使用,如有雷同纯属巧合。
HW3000 Datasheet 应用笔记 芯片数据手册
11-08
对于HW3000这款芯片,其datasheet及其应用笔记提供了全面的技术信息,帮助工程师们深入理解和有效应用这款芯片。以下是对HW3000芯片的详细解析。 首先,我们来看"HW3000 Datasheet"。Datasheet是芯片制造商提供的...
2024蓝队HW面试题收集(持续更新)
最新发布
qq_65165505的博客
05-20 2246
24年hw面试题收集汇总,持续更新
audio_hw.c分析
06-03
audio_hw.c 是 Android 系统中 Audio HAL 的一部分,它是实现音频硬件抽象层的代码文件之一。它主要负责与硬件交互,提供音频输入和输出的功能。下面简要分析一下该文件的主要内容。 1. 头文件包含 audio_hw.c 文件的头文件包含如下: ```c #include <errno.h> #include <pthread.h> #include <stdlib.h> #include <sys/time.h> #include <sys/resource.h> #include <unistd.h> #include <fcntl.h> #include <sys/stat.h> #include <sys/ioctl.h> #include <sys/mman.h> #include <cutils/atomic.h> #include <cutils/log.h> #include <cutils/list.h> #include <cutils/str_parms.h> #include <sound/asound.h> #include <tinyalsa/asoundlib.h> #include <audio_utils/channels.h> #include <audio_utils/sndfile.h> #include <hardware/audio.h> #include <hardware/hardware.h> ``` 这些头文件包含了一些系统库、音频相关的库和硬件抽象层的定义文件。 2. 结构体定义 audio_hw.c 中定义了许多结构体,其中最重要的是 `struct audio_hw_device`,它是整个音频 HAL 的核心,定义了 HAL 的接口和属性。 3. HAL 接口实现 audio_hw_device 结构体中定义了音频 HAL 的接口,这些接口都需要实现。接口包括: - `init()`:初始化音频硬件设备。 - `get_supported_devices()`:获取支持的音频设备列表。 - `open_output_stream()`:打开一个音频输出流。 - `close_output_stream()`:关闭一个音频输出流。 - `open_input_stream()`:打开一个音频输入流。 - `close_input_stream()`:关闭一个音频输入流。 - `set_parameters()`:设置音频参数。 - `get_parameters()`:获取音频参数。 - `dump()`:打印音频硬件的调试信息。 实现这些接口需要与具体的硬件进行交互,以提供音频输入和输出的功能。 4. 辅助函数 audio_hw.c 中还定义了一些辅助函数,用于处理音频参数、打开音频设备、配置音频流等。 5. 初始化函数 整个音频 HAL 的初始化函数是 `audio_hw_device_open()`,它会调用 `audio_hw_device_init()` 来初始化音频硬件设备,并返回一个 `audio_hw_device` 结构体。 以上是对 audio_hw.c 的简要分析,该文件实现了 Android 音频 HAL 的核心接口和一些辅助函数,是整个音频 HAL 的重要组成部分。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Simon_Smith

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值