护网设备的使用

设备概念

IPS
IPS代表入侵防御系统（Intrusion Prevention System），它不仅可以检测入侵行为，还可以主动采取措施进行防御。

IDS
IDS代表入侵检测系统（Intrusion Detection System），它通过监视网络流量、日志和系统事件来检测潜在的入侵行为。IDS基于预定义的规则或行为模式，分析网络流量和事件，以发现可能的安全漏洞、异常行为或已知攻击的迹象。一旦检测到可疑活动，IDS会生成警报通知相关人员进行进一步的调查和响应。

蜜罐

部署一些作为诱饵的主机，诱使攻击方对蜜罐进行过攻击，对攻击方的攻击行为进行捕捉和分析，了解攻击方使用的工具和方法，从而增强增强真实系统的安全防护能力。

WAF

web应用防火墙，专门针对于HTTP和https请求，对客户端的请求内容进行检测，确保其合法性和安全性，还会对非法的请求进行及时的阻断。

天眼的使用

主要用天眼进行流量分析和流量监控，并且可以用他的日志检索模块进行溯源。

检索语法

dip ：被攻击的 ip
dport：被攻击的端口
sip：源ip
sport：源端口
uri ：请求的 url 地址
data：请求包的正文内容
status：响应包的状态码
host：域名
client_os 系统运算符 AND(AND或&&或+)OR(OR或||)ix.NOT(NOT或!或-)

天眼构成

①流量传感器(探针)②文件威胁鉴定器(沙箱)③分析平台④天擎(若有)

天眼菜单界面

流量传感器:状态监听，威胁告警，规则配置，策略配置，系统配置
分析平台:威胁感知-告警列表，分析中心-日志检索

告警类型

企图;成功;失陷;失败

天眼或者传感器上出现命令执行告警，怎么应对?

1、验证此条告警是否真的成功?(成功的话，直接就可以出报告了)
2、失败的话，判断攻击者是手工还是扫描工具批量行为?
3、进入分析平台进一步分析，查看分析平台攻击IP除了文件上传以外是否存在其他攻击行为，攻击结果如何?
4、将发现时间及攻击行为反馈给护网客户

如果天眼设备上短时间内有大量告警，你会怎么进行分析?

根据轻重缓急进行筛选查看，从高危到低危，从命令执行到目录遍历这种等

天眼日志检索功能使用

1、在“分析中心”-“日志检索”模块，选择“高级模式”-“web访问”，再填写检索语句，再点击搜索
2、如果不知道具体的描述字段名？
在日志检索页面的左边，有一个展示字段，也就是说我们需要去记字段名，我们可以通过可视化界面把需要的字段进行选中，点点点就行了