2024HW 天眼&NGSOC告警分析学习笔记

已于 2024-06-09 13:15:22 修改
阅读量4.3k 收藏 65
点赞数 13
分类专栏: 安全服务与应急响应 文章标签: 安全设备 网络安全 应急响应
于 2024-05-09 12:18:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51339377/article/details/138603862
版权

目录

天眼系统基础知识学习

天眼系统常见协议字段和语法分析学习

天眼日志检索语法

协议字段学习

天眼告警的监测与分析

XML实体注入知识点补充

天眼系统基础知识学习

奇安信天眼的部署架构图如下:

天眼设备中传感器的介绍:

防火墙一般的页面:

这是流量传感器的整体导航图:

接下来是天眼的分析平台:

可以发现这个分析平台,某种程度上是一个用户的汇总终端,汇总了来自刚才学习的流量传感器的内容,并且进行了展示,适合操作者进行总体上的操作把控。

接下来是文件威胁鉴定器相关的内容:

基本功能如下:

整体上来说,类似于一个对于受控主机内部文件的一个app,就像每个系统上安装了杀毒软件一样

天眼系统常见协议字段和语法分析学习

天眼日志检索语法

常见的逻辑运算符

AND    &&     +

OR     ||

NOT     !       -

协议字段学习

接下来补充一下计算机网络基础课中关于TCP和UDP协议的内容:

自行补充TCP的三次握手和四次挥手相应的ack等的字段数值规律

UDP协议:

TCP和UDP的协议字段:

补充一下HTTP需要用的协议字段:

HTTP的状态码:

DNS的协议字段:

ssl协议的字段:

文件传输协议字段:

登录协议:

邮件协议:

数据库操作:

天眼告警的监测与分析

大多为基础知识,都已经熟练掌握。补充如下内容:

接下来是关于命令执行漏洞的补充:

再补充一点我不太熟悉的XML外部实体注入漏洞的知识:

XML实体注入知识点补充

全方位多领域全层级监控利器--天眼智能监控告警平台
weixin_40926179的博客
03-20 2920
全方位多领域全层级监控利器--天眼智能监控告警平台 建设背景 在全力加快数字化转型过程中,IT系统的架构演进不断升级,大量新兴技术及组件在生产系统中得以推广应用,如何提升监控的准确性,及时性,增强用户感知,保障生产系统稳定运行,是目前面临的一大挑战。目前遇到的痛点影响了运维问题处理的准确性。 全层级监控多样化告警解决方案 作为天眼体系的一项基础监控产品,平台提供IaaS、PaaS、SaaS各层级监控能力,支持全流程可视化配置,具备多样化告警通知方式,实现告警工单闭环管理。用户可快速实现监控接入,为系
HW2021攻防演练经历碎碎念-见解
Jay
07-18 2439
HW2021攻防演练经历碎碎念。
QXA天眼告警监测分析.pdf
11-30
天眼告警监测分析 web攻击 1. 信息泄露 2. 弱口令 3. XSS攻击 4. SQL注入 5. 文件上传 6. 文件包含 7. Webshell 8. 命令执行 9. XML实体注入 威胁情报 1. 木马远控 2. 挖矿木马 3. 勒索病毒 4. 僵尸网络 5. 黑市工具等 信息泄露 敏感数据包括但不限于:口令、密钥、证书 、会话标识、License、隐私数据(如短消息的内 容)、授权凭据、个人数据(如姓名、住址、电话 等)等,在程序文件、配置文件、日志文件、备份 文件及数据库中都有可能包含敏感数据。 弱口令 密码过于简单,不满足复杂度要求;攻击 者通过穷举方法尝试web登录的帐号名与密码。 密码复杂度要求:口令长度不得小于 8 位, 且为数字、字母、字符混合组合,用户名口令 不得相同, 且无明显规律 文件上传 任意文件上传漏洞,主要是产生于网站所 提供的文件上传功能,而由于网站没有严格限制 文件上传格式,从而导致可上传任意的文件格式, 特别是脚本木马(webshell)到服务器上,最 终获得服务器的控制权限
启明HW-流量分析考题
04-24
本资源是启明星辰对于护网的考核题目,主要是流量分析方面的实战题目。
网络安全设备:天眼使用指南
11-26
天眼使用指南 分析平台、流量传感器、文件威胁鉴定器 01 天眼架构部署 02 天眼设备介绍-传感器 03 天眼设备介绍-分析平台 04 天眼设备介绍-文件鉴定器 通过这个使用指南可以对天眼的使用有一个比较好的认知,对自己即将上班或者正在学习网络安全的朋友有很大的帮助,可以提前了解安全设备
面试经验分享 | 某安全厂商HW面试经验
zkaqlaoniao的博客
03-17 902
也希望大家有什么护网相关的需求建议都可以留在评论区,大家讨论下,嘿嘿嘿,希望大家伙都可以通过今年的护网面试。反弹shell,就是攻击机监听在某个TCP/UDP端口为服务端,目标机主动发起请求到攻击机监听的端口,然后将shell转移到到攻击机。攻击者利用SQL语句或字符串插入到服务端数据库中,通过一些字符单引号、双引号,括号、and、or进行报错,获取数据库敏感信息。反射型XSS:反射型XSS攻击是一次性的攻击,当受害者点击恶意链接url的时候,恶意代码会直接在受害者的主机上的浏览器执行。
2025国家护网HVV高频面试题总结来了(题目+回答)
最新发布
ewii12567的博客
04-08 791
攻击者通过在输⼊的SQL查询中注⼊恶意代码,来执⾏他们想要的操作,⽐如获取敏感信息、删除或篡改数据等。这种攻击通常发⽣在⽤户输⼊没有经过充分验证清理的情况下,例如在⽹站的登录表单或搜索框中输⼊SQL语句。为了防⽌SQL注⼊,开发者应该使⽤参数化查询预编译的查询,对⽤户的输⼊进⾏严格的验证清理。tomcat⽇志默认路径:在安装⽬录下的logs⽂件夹下nginx的⽇志主要分为access.log、error.log两种,可通过查看nginx.conf⽂件来查找相关⽇志路径。
告警分析应急响应流程
tlucky的博客
04-16 3806
1.威胁情报类告警分析流程 1.确认事件的真实性 2.查询IOC的情报信息——IOC的时效性、相关的情报信息等 3.定位受害ip,确定攻击ip是在内网还是外网 4.排除误报,排除因内部人员操作引起的误报 5.关联分析——定位被扩散的资产,攻击源是否进行了横向渗透,进行了哪些相关的操作,造成了何种后果 6.溯源分析 把时间向前推进5-10分钟,是攻击者首次攻击的时间,分析攻击者是以哪种漏洞进行攻击的,什么方式,何种手段攻击进来的,我们要以何种方式去解决 7.提出处置建议+出报告 2.应急响应流程 应急响应流程
天眼初步认知及使用大汇总
m0_74271951的博客
08-03 2142
介绍天眼的一些内容,着重讲了天眼告警分析中Web类告警分析(信息泄露,弱口令,XSS攻击,XXE,SQL注入,文件上传,文件包含,webshell,命令执行.)威胁情报 (木马远控,挖矿木马,勒索病毒,僵尸网络,黑市工具)适合初学者~
NGSOC-360态势感知与安全运营平台产品技术白皮书
01-09
高级可持续性威胁(APT攻击)频发,传统的安全防御手段不足以应对未知安全防御,加之攻击者与防御者在信息上不对称,溯源分析难以实施,为此360面向应对高级可持续性威胁(APT攻击)推出NGSOC架构下的态势感知产品,该份系公开资料,供有关人士参考。
态势感知与安全运营平台NGSOC.pptx
09-29
态势感知与安全运营平台
网络安全防御与网络应急
11-20
英文中应急响应有两种表示法,即Emergency ResponseIncident Response,其含义是指安全技术人员在遇到突发事件后所采取的措施行动,而突发事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题,也包括网络范畴内的问题,例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。 声明:个人演讲使用,如有雷同纯属巧合。
HW蓝队防守思路 .pdf
04-17
HW蓝队防守思路 HW蓝队防守思路是指蓝队在网络安全防守中采取的一系列策略措施,以保护目标系统免受攻击威胁。该防守思路涵盖了从准备阶段到正式演习阶段的所有步骤,旨在确保目标系统的安全稳定。 准备阶段...
ESP32学习笔记之串口UART事件接收数据(一次接收大于120字节)
Ping C3的博客
07-21 4011
系统环境: Windows 10VS-CodeESP-IDF(V5.2.2)开发版 : ESP32 WROOM32通用异步接收器/发送器 (UART) - ESP32 - — ESP-IDF 编程指南 v5.2.2 文档例 程 ://uart事件结构体//存放RX缓冲区里的数据长度 单位:字节//开辟一段内存存放接收到的数据 无符号字节型(动态分配的内存dtmp的地址不可以发生改变)uint8_t*dtmp这是一种可变长度数组的写法 用动态内存分配函数malloc()
Prometheus+Grafana+Node-exporter+Alertmanager+Python3+Nginx搭建大盘监控以及告警提醒
以爱护甲,爱满枫林。
03-22 3073
rometheus是一个开源的系统监控报警系统,现在已经加入到CNCF基金会,成为继k8s之后第二个在CNCF托管的项目,在kubernetes容器管理系统中,通常会搭配prometheus进行监控,同时也支持多种exporter采集数据,还支持进行数据上报,Prometheus性能足够支撑上万台规模的集群。Grafana是一款用Go语言开发的开源数据可视化工具,可以做数据监控数据统计,带有告警功能。目前使用grafana的公司有很多,如paypal、ebay、intel等。
Hvv(三)
qq_53142368的博客
07-06 2748
HW-小记(2)
奇安信:为数字经济发展创新区建设贡献更多优秀方案
shujuguan2023的博客
09-12 134
吴剑介绍,该平台以大数据平台为基础,通过收集多元、异构的海量日志,利用关联分析、机器学习、威胁情报等技术,帮助政企客户持续监测网络安全态势,实现从“被动防御 ”向 “主动防御” 的进阶,为安全管理者提供风险评估应急响应的决策支撑,为安全运营人员提供威胁发现、调查分析及响应处置的安全运营工具。在终端安全领域,奇安信通过“体系化防御,数字化运营”的终端安全理念,在终端类型全覆盖、安全能力全覆盖、联动场景全覆盖、部署管理全覆盖的基础上,构建全覆盖、全统一、全协同的终端安全防护体系;万物互联,机遇与风险并存。
Hvv面试题
qq_73611706的博客
11-29 579
在客户现场,遇见你第一时间无法解决的问题,但是客户又急着等你解决,你有什么解决方法。天眼发现dnslog的日志,说明什么问题?如果你护网同一个项目的人问你奇安信公司的一些事,你如何回答是否会他聊吗。简历里面有CTF比赛的:会问你主要负责方向,然后根据你的回答,深入提问。其他公司的人说他来自哪个省份,哪个公司,问你来自哪里,你怎么回答。你是为客户服务的,那么你在项目中是听从客户还是听从项目经理的。我们在天眼上遇到文件上传告警时,应急响应的流程是怎样的?内网渗透了解过什么,用什么工具,工具叫啥,代理是啥。
too many free trial accounts used on this machine
02-13
### 解决方案概述 对于在同一台机器上创建过多免费试用账户的问题,主要挑战在于系统通过特定机制(如Cursor)来跟踪限制设备上的账户数量。即使尝试删除现有账户并重新登录或注册新的账户也无法绕过这一限制[^1]。 为了有效应对这个问题,可以考虑以下几个方面: #### 1. 设备指纹清除 某些服务提供商利用硬件特征作为唯一标识符来进行设备识别。这可能包括MAC地址、硬盘序列号等不易更改的信息。如果能够找到方法修改这些属性,则有可能解除绑定限制。然而需要注意的是,这种方法可能会违反平台的服务条款,并且技术实现难度较大。 #### 2. 使用虚拟化环境 采用虚拟机软件可以在同一物理主机内模拟多台独立计算机运行。每台虚拟机能拥有自己独特的网络配置其他硬件参数,从而使得它们被当作不同的实体对待。这样就可以规避单个真实设备的账号绑定次数上限问题。例如,在VMware Workstation Pro 或 Oracle VirtualBox 中设置多个来宾操作系统实例[^2]。 ```bash # 创建一个新的虚拟机镜像文件 VBoxManage createvm --name "TestMachine" --register ``` #### 3. 联系服务商支持团队 当遇到因超出允许范围而无法继续添加更多临时访问权限的情况时,最直接有效的途径就是联系对应网站的技术客服人员寻求帮助。说明具体情况以及合理需求后,或许可以获得额外配额或是其他形式的支持措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宾宾有李&生活主义者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值