知攻善防，遇强则强！

先介绍一下什么是HVV行动：

它是由公安部牵头的，通过组织红队和蓝队进行为期两周到三周的攻防对抗演习，来检测一些企业单位可能存在的网络漏洞和威胁，进而进行修复和加固，提高安全性能。

HVV行动中蓝队最常见的三个组：监控组、研判组、处置组

（此外还有负责溯源、写报告以及其他工作的组）

我下面要介绍的是监控组，作为监控组你必须要知道并且会用的一个安全设备：态势感知平台

什么是态势感知平台？

来看一下ChatGPT的回答：

态势感知平台是一个综合性的信息管理系统，用于收集、整合、分析和可视化各种数据源的信息，
以帮助组织更好地理解当前情况和趋势。这种平台通常在许多领域中得到广泛应用，包括军事、
国土安全、网络安全、城市规划、应急管理等。态势感知平台的主要功能包括：1. 数据收集：从各种传感器、监控系统、社交媒体、网络通信和其他数据源收集信息。2. 数据整合：将来自不同源头的数据整合在一起，以创建完整的信息图像。3. 数据分析：使用数据分析工具和技术，对信息进行处理和解释，以了解当前的态势和趋势。4. 可视化：通过图表、地图、仪表板等方式，将信息可视化呈现，使用户能够快速理解复杂的数据。5. 情报共享：在组织内部或与其他组织之间共享信息，以支持决策制定和合作。这些平台的目标是提供实时、全面的信息，以帮助组织有效地应对各种挑战和情境，
从而改善决策制定和资源分配。

我们实际HVV中使用的态势感知平台其实就是对一些异常流量的捕捉，它会基于一定的策略，锁定一些流量特征，将这些有问题的请求包筛选出来，但是态势感知有一个最大的问题就是误报严重，每天的告警可能会有几万条，但实际的真实攻击可能只有几条，所以才需要人工进行判定和处置。

常见的态势感知平台：深信服的SIP和奇安信的天眼

下面给大家找了一些图

 

大致就是这样，但是我们监控组看到其实主要是另一个页面 ，即告警列表的界面

在告警列表里我们可以看到各种各样的攻击告警，我们可以查看详情，通过分析流量包的请求和响应，来判断是否为真实攻击，以及给出相应的处置建议。

至于怎么看和分析告警流量，常见的攻击有哪些，为什么态势感知误报严重，如何避开误报筛选出真实攻击，如何应对不同企业不同的资产，常用的工具还有哪些，以及如何给处置建议等等，这些我们放到下一篇再讲。

这里主要是带大家入个门先了解HVV这个东西以及必须要知道的一个安全设备——态势感知

我是Myon，我们下篇博客再见！喜欢的可以关注一下哈，主要分享网络安全、CTF相关知识Thanks♪(･ω･)ﾉ