tryhackme——Defensive Security Intro(防御安全简介)

任务一:Introduction to Defensive Security防御安全简介

ae0610cf7f8443bca96c7af2cfa6d624.png

此room的两个要点:

  1. Preventing intrusions from occurring
    防止入侵发生
  2. Detecting intrusions when they occur and responding properly
    检测发生的入侵并正确响应

823c01da3dc4468fa39c956ad92d3f09.png


防御安全还有更多内容。 除上述内容外,我们还将涵盖以下相关主题:

安全运营中心 (SOC)

威胁情报
数字取证和事件响应 (DFIR)

恶意软件分析

ad6f532a48654132a04409aa9875987f.png 

任务二: Areas of Defensive Security(防御安全领域)

两个主题:  

Security Operations Center (SOC)安全运营中心:我们在此负责威胁情报

Digital Forensics and Incident Response (DFIR)数字取证和事件响应 :我们还涵盖恶意软件分析

(1)Security Operations Center (SOC):安全运营中心 (SOC)

 

简介:soc是一群网络安全专业人员组成的安全团队,负责监控网络及其系统以检测网络安全事件。

soc主要涉及的领域:

1.漏洞:每次发现漏洞的时候,必须通过安装适当的更新以及补丁修复他,当修复不可用时,需要采取必要的措施防止攻击者利用他。尽管修复漏洞对于soc至关重要,但也不一定会分配给他们。

2.策略违规:安全策略是保护网络和系统所需要的一组规则。例如,用户将公司的机密数据上传到在线的存储服务上,就可能违反策略。

3.未授权的活动:考虑用户的登录名和密码被盗用,攻击者使用他们登录网络。

4.网络入侵:当用户点击恶意链接或攻击这利用公共服务器,可能会发现入侵,我们需要尽快采取措施。

安全操作涵盖各种任务以确保保护;其中一项就是威胁情报(Threat Intelligence)

44e815109b2a428280946674c543290c.png

威胁情报

概念:

情报指的是你收集的实际和潜在敌人的信息。

威胁指可能破坏系统或对系统产生不利影响的任何操作。 

目的就是实现基于威胁的防御。

不同的公司有不同的对手。一些攻击者可能试图从移动运营商那里窃取客户数据;然而,其他对手也有兴趣停止炼油厂的生产。示例攻击者包括出于政治原因工作的民族国家网络军队和出于财务目的行事的勒索软件组织。根据公司(目标),我们可以预期对手。

情报需要数据

这里必须收集、处理和分析数据。

1.数据是从本地来源(如网络日志)和公共来源(如论坛)收集的

2. 数据处理将其排列成适合分析的格式

3.分析阶段旨在查找有关攻击者及其动机的更多信息

了解你的对手可以让你了解他们的策略、技术和程序。根据威胁情报,我们识别威胁行为者(对手)并预测其活动。因此,我们可以减轻他们的攻击并准备响应策略。

(2)Digital Forensics and Incident Response (DFIR):数字取证和事件响应 

1)Digital Forensics数字取证

2)Incident Response事件响应

3)Malware Analysis恶意软件分析

 1)Digital Forensics数字取证

由来: 法医是使用科学来调查犯罪和确定事实。随着计算机和智能手机等数字系统的使用和普及,法医的一个新分支诞生了,用于调查相关犯罪:计算机取证,后来演变为数字取证

在防御性安全方面,数字取证的重点转移到分析攻击及其肇事者的证据,以及其他领域,例如知识产权盗窃、网络间谍和拥有未经授权的内容。因此,数字取证将侧重于不同的领域,例如:

  • 文件系统:分析系统存储的数字取证图像(低级副本)可以揭示许多信息,例如已安装的程序、创建的文件、部分覆盖的文件和已删除的文件。
  • 系统内存:如果攻击者在内存中运行恶意程序,但未将其保存到磁盘,则获取系统内存的取证图像(低级副本)是分析其内容并了解攻击的最佳方式。
  • 系统日志:每个客户端和服务器计算机都维护着不同的日志文件,说明发生了什么。日志文件提供了有关系统上所发生情况的大量信息。即使攻击者试图清除他们的痕迹,一些痕迹也会保留下来。
  • 网络日志:遍历网络的网络数据包的日志将有助于回答有关是否发生攻击及其后果的更多问题。

2)Incident Response事件响应

事件通常是指数据泄露或网络攻击;但是,在某些情况下,它可能不太重要,例如配置错误、入侵尝试或违反策略。网络攻击的示例包括攻击者使我们的网络或系统无法访问、污损(更改)公共网站以及数据泄露(窃取公司数据)。

您将如何应对网络攻击?

事件响应 指定了处理此类情况应遵循的方法。目的是在尽可能短的时间内减少损害和恢复。理想情况下,您将制定一个为事件响应做好准备的计划。

dd82d9b3996749f5bed44372b86d3e32.png

  1. 准备:这需要一支经过培训并准备好处理事件的团队。理想情况下,采取各种措施来从一开始就防止事件发生。
  2. 检测和分析: 团队拥有检测任何事件所需的资源;此外,必须进一步分析检测到的任何事件以了解其严重性。
  3. 遏制、根除和恢复:一旦检测到事件,就必须阻止它影响其他系统,消除它并恢复受影响的系统。例如,当我们注意到某个系统感染了计算机病毒时,我们希望阻止(遏制)病毒传播到其他系统,清理(根除)病毒,并确保系统正确恢复。
  4. 事件后活动:成功恢复后,将生成报告,并分享经验教训,以防止将来发生类似的事件。

3)Malware Analysis恶意软件分析

恶意软件代表恶意软件。软件是指可以保存在磁盘上或通过网络发送的程序、文档和文件。恶意软件包括多种类型,例如:

  • 病毒是将自身附加到程序上的一段代码(程序的一部分)。它旨在从一台计算机传播到另一台计算机,其工作原理是在感染计算机后更改、覆盖和删除文件。结果范围从计算机变慢到无法使用。
  • 特洛伊木马是一种程序,它显示一个理想的功能,但在下面隐藏了一个恶意功能。例如,受害者可能会从可疑网站下载视频播放器,从而使攻击者能够完全控制其系统,进行监视。
  • 勒索软件是一种加密用户文件的恶意程序。加密会使文件在不知道加密密码的情况下无法读取。如果用户愿意支付 “赎金”,攻击者会向用户提供加密密码。(比特币)

木马和病毒的相同点和不同点

相同点:木马和病毒都是人为编写的而已代码,都会对用户造成危害。

不同点:病毒是具有传染性的,能偶自我复制,感染文件,拖慢计算机的速度,造成破环,而木马是不具备传染性的,它的主要怕目的是监视,获取用户相关的信息和隐蔽控制为主。

 

恶意软件分析旨在通过各种方式了解此类恶意程序:

  1. 静态分析的工作原理是检查恶意程序而不运行它。这通常需要扎实的汇编语言(处理器的指令集,即计算机的基本指令)的知识。
  2. 动态分析的工作原理是在受控环境中运行恶意软件并监控其活动。它允许您观察恶意软件在运行时的行为方式。

0b356e6943e8472b9ca07dc6ae4bd36e.png 任务三:Practical Example of Defensive Security(防御安全的实例)

 让我们假设您是负责保护银行的安全运营中心 (SOC) 分析师。该银行的 SOC 使用安全信息和事件管理(SIEM)工具,该工具从各种来源收集与安全相关的信息和事件,并将其呈现在一个仪表板中。如果 SIEM 发现可疑情况,就会生成警报。

74fbb74ab0fe4c07bcda090e2e4c0d34.png

但是,并非所有警报都是恶意警报。分析师可以利用他们在网络安全方面的专业知识来调查哪些是有害的。

例如,您可能会遇到用户多次登录尝试失败的警报。虽然可疑,但这种事情会发生,尤其是当用户忘记了密码并继续尝试登录时。

此外,可能会有与来自未知 IP 地址的连接相关的警报。IP 地址类似于计算机在 Internet 上的家庭地址,它告诉其他计算机将您请求的信息发送到何处。当这些地址未知时,可能意味着有新人正在尝试连接或有人试图进行未经授权的访问。

 

模拟 SIEM

我们准备了 SIEM 系统的简化交互式模拟,为您提供类似于网络安全分析师所遇到的实践经验。

要开始此模拟,请单击下面的“查看站点”按钮。

4948e74fd3d64821aa21112bcf1c3d9d.png

 

952454906a7d4322a30defc39fab46f5.png

6213e9a81c624f9da5ae28ab9e5d0a27.png 检查 SIEM 控制面板中的警报。从警报中找到恶意 IP 地址,记下它,然后单击警报以继续。

6a136fcc98794158a05ba47d370f051f.png成功尝试从 IP 地址 143.110.250.149 对端口 22 进行 SSH 身份验证 

b7dff8dec8ff4545a34aef4635d1f6cc.png 检测到从 lP 地址进行未经授权的连接尝试143.110.250.149 到端口 22

a13026a08f3b427dbaca1267bbc12ada.png 用户 John Doe 成功登录(事件 ID 4624)

a5cf2fd6896f421498a5e5456e10ae79.png

John Doe 多次登录尝试失败

45f15c7fbd5b4e6d8dc1a15ffc5a86b1.png

登录失败:指定帐户的密码已过期(事件 ID 535) 

76eb134371234ed9964cdbe2f8404218.png

输入相应ip地址

 

139bf9790c12465dbfa0e2c2d5323cae.png

beb90bf855644ddc90d92dd50ebcb6c4.png市面上有许多开源数据库,例如 AbuseIPDB 和 Cisco Talos Intelligence,您可以在其中对 IP 地址执行声誉和位置检查。大多数安全分析师使用这些工具来帮助他们进行警报调查。您还可以通过报告 AbuseIPDB 等恶意 IP 来使 Internet 更安全。

现在我们知道 IP 地址是恶意的,我们需要将其上报给工作人员!

2e22e06e3610490397f0b78a3dbdf5b0.png 如果这是一次失败的身份验证尝试,我们不应该太担心,但您可能注意到来自恶意 IP 地址的成功身份验证尝试。让我们声明一个小事件事件并上报它。公司有一些很棒的员工,但您不想将此事上报给不负责您的团队或部门的错误人员。

选择要将此事件上报的对象

Sales Executive :销售主管

Security Consultant:安全顾问 

Information Security Architect:信息安全架构师

SOC Team Lead:SOC 团队负责人

5568aa72582f412cb52904e1b17668a2.png 您已获得阻止恶意 IP 地址的权限,现在可以继续并实施阻止规则。阻止防火墙上的恶意 IP 地址,并找出他们给您留下的消息。

 

030ca2ef47964b799170be2e6db04535.png

完成房间。 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/64166.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

使用rust语言创建python模块(pyo3+maturin)

1. 首先使用conda创建python虚拟环境(已创建的可省略) >conda create --prefixE:\python_envs\rust_python python3.11 2. 激活python虚拟环境 conda activate rust_python 3. 安装maturin pip install maturin 4. 创建rust项目 >cd E:\py…

关于Postgresql旧版本安装

抛出问题 局点项目现场,要求对如下三类资产做安全加固,需要在公司侧搭建测试验证环境,故有此篇。 bclinux 8.2 tomcat-8.5.59 postgrel -11 随着PG迭代,老旧版本仅提供有限维护。如果想安装老版本可能就要费劲儿一些。现在&…

使用echarts实现3d柱状图+折线图

以下代码有问题请直接问国内直连GPT/Claude HTML 需要注意threeDchart一定要设置宽度高度&#xff0c;不然图不显示,然后echarts版本不要太低&#xff0c;不然也不显示 <div id"threeDchart" class"threeDchart"></div>js set3DBarChart2(dat…

2024.1212-02-虚拟私人网(VPN) 虚拟局域网 及隧道技术(四)--GRE47 Etherip97 原理及应用

虚拟局域网 及隧道技术&#xff08;四&#xff09;-GRE47 & Etherip97原理及应用 概述原理及应用EOIP/Etherip概念区别 隧道协议标准EtherIP &#xff08;IP protocol number 97&#xff09;GRE 开源工具katlogic-eoip 验证环境GRE&#xff08;EOIP&#xff09;演示验证Eth…

【从零开始入门unity游戏开发之——C#篇01】理论开篇,理解什么是编程

文章目录 前言前置条件进制什么是十进制、二进制二进制有什么用&#xff1f;为什么计算机用二进制而不用十进制&#xff1f;二进制转十进制十进制转二进制二进制运算 计算机中的数据存储单位什么是编程&#xff1f;什么是代码&#xff1f;什么是编程语言&#xff1f;常见的编程…

黑盒白盒测试

任务1 黑盒测试之等价类划分法 【任务需求】 【问题】例&#xff1a;某报表处理系统要求用户输入处理报表的日期&#xff0c;日期限制在2003年1月至2008年12月&#xff0c;即系统只能对该段期间内的报表进行处理&#xff0c;如日期不在此范围内&#xff0c;则显示输入错误信息…

CSS学习记录11

CSS布局 - display属性 display属性是用于控制布局的最终要的CSS属性。display 属性规定是否/如何显示元素。每个HTML元素都有一个默认的display值&#xff0c;具体取决于它的元素类型。大多数元素的默认display值为block 或 inline。 块级元素&#xff08;block element&…

ByteCTF2024

wp参考&#xff1a; 2024 ByteCTF wp 2024 ByteCTF WP- Nepnep ByteCTF 2024 writeup by Arr3stY0u 五冠王&#xff01;ByteCTF 2024 初赛WriteUp By W&M ByteCTF 2024 By W&M - W&M Team ByteCTF Re WP - 吾爱破解 - 52pojie.cn 2024 ByteCTF - BediveRe_R…

C#,在 C# 语言中将 LaTeX 转换为 PNG 或 JPG 图像

在 C 语言中将 LaTeX 转换为 PNG 或 JPG 图像# 12月 28&#xff0c; 2021 2 分钟 法尔汉拉扎 在 C 语言中将 TeX 转换为 PNG JPG 图像# TeX 格式用于处理技术和科学文件。它通常用于交流或发布此类文档。在某些情况下&#xff0c;您可能需要将 TeX 文件渲染为 PNG 或 JPG 等图像…

AI监控赋能健身馆与游泳馆全方位守护,提升安全效率

一、AI视频监控技术的崛起 随着人工智能技术的不断发展&#xff0c;AI视频监控正成为各行业保障安全、提升效率的关键工具。相比传统监控系统&#xff0c;AI技术赋予监控系统实时分析、智能识别和精准预警的能力&#xff0c;让“被动监视”转变为“主动防控”。 二、AI监控应用…

搭建Tomcat(一)---SocketServerSocket

目录 引入1 引入2--socket 流程 Socket&#xff08;应用程序之间的通讯保障&#xff09; 网卡(计算机之间的通讯保障) 端口 端口号 实例 client端 解析 server端 解析 相关方法 问题1&#xff1a;ServerSocket和Socket有什么关系&#xff1f; ServerSocket Soc…

爬虫学习案例5

爬取b站一个视频 罗翔老师某一个视频很刑 单个完整代码&#xff1a; 安装依赖库 pip install lxml requests import osimport requests import re from lxml import etree import json # 格式化展开输出 from pprint import pprint # 导入进程模块 import subprocess head…

【深度学习】 零基础介绍卷积神经网络(CNN)

零基础介绍 卷积神经网络&#xff08;CNN&#xff0c;Convolutional Neural Network&#xff09;是深度学习中的一种神经网络&#xff0c;特别擅长处理图像和视频等有空间结构的数据。 假设我们在做一个“照片分类”的任务&#xff0c;比如判断一张照片中是猫还是狗。下面用一…

【计算机组成原理】实验二:通用寄存器单元实验

实验二&#xff1a;通用寄存器单元实验 一、实验目的 了解通用寄存器的组成和硬件电路&#xff0c;利用通用寄存器实现数据的置数、左移、右移等功能。 二、实验内容 数据输入通用寄存器 寄存器内容无进位位左移实验 寄存器内容无进位位右移实验 三、实验步骤和结果 实…

4G模块详解

在之前的教程中&#xff0c;无线通信技术我们学习了蓝牙和 WiFi&#xff0c;今天我们要来学习 4G。 4G 模块在距离上有个突破&#xff0c;它不像蓝牙短距离&#xff0c;也不像 WiFi 只能在局域网&#xff0c;4G 模块可使用户无论在哪&#xff0c;只要有 4G 网络信号覆盖&#…

Visual Studio 使用 GitHub Copilot 聊天

&#x1f380;&#x1f380;&#x1f380;【AI辅助编程系列】&#x1f380;&#x1f380;&#x1f380; Visual Studio 使用 GitHub Copilot 与 IntelliCode 辅助编码Visual Studio 安装和管理 GitHub CopilotVisual Studio 使用 GitHub Copilot 扩展Visual Studio 使用 GitHu…

TimerPickerDialog组件的用法

文章目录 1 概念介绍2 使用方法3 示例代码我们在上一章回中介绍了Snackbar Widget相关的内容,本章回中将介绍TimePickerDialog Widget.闲话休提,让我们一起Talk Flutter吧。 1 概念介绍 我们在这里说的TimePickerDialog是一种弹出窗口,只不过窗口的内容固定显示为时间,它主…

Linux高并发服务器开发 第四天(wc/whoami命令 权限修改chmod 添加/删除用户(组) 切换用户 修改文件所有者/所属组 查找/过滤)

目录 1.wc和whoami命令 1.1wc命令 1.2whoami命令 2.用户权限/用户/用户组 2.1修改文件权限chmod 2.1.1文字设定法 2.1.2数字设定法 2.2添加删除新用户和新用户组 2.3切换用户 2.4修改文件所有者和所属组 2.4.1修改所有者 2.4.2修改所属组 3.查找和过滤 3.1find—…

微服务架构导学

一. 什么是微服务 微服务是一个软件架构风格&#xff0c;将一个大型的项目拆分成多个小项目&#xff0c;每个项目都被称为一个微服务&#xff0c;通过多个微服务共同组成一个大的项目。 二. 单体架构和微服务架构 单体架构 将整个项目的功能、模块全部堆积在一个项目中 优点&am…

【kubernetes】kubectl get nodes报NotReady

目录 1. 说明2. 问题描述3. kube-flannel.yml 1. 说明 1.这里k8s的版本是v1.17.4。2.若kube-flannel.yml中的镜像拉取不下来&#xff0c;可以下载本文章的文件资源&#xff0c;手动docker load -i ***.tar的方式。3.v1.17.4的kube-flannel.yml参考下面代码。4.通过kubectl get…