一、蓝队防守策略：

工作流程概述

Hvv蓝队技战法：Hvv蓝队技战法 - FreeBuf网络安全行业门户
3个阶段，4大要点，蓝队防守全流程纲要解读：攻防演练合集 | 3个阶段，4大要点，蓝队防守全流程纲要解读 - 安全牛

防守方战前准备

正式开始前的准备工作包括资产梳理、暴露面收敛、安全加固等
攻防演练防守方的战前准备：备战正当时 | 一图搞懂攻防演练防守方的战前准备！（附赠印刷版海报）-深信服
做好二十项筹备任务，实战攻防演练获得“先手优势”：做好二十项筹备任务，实战攻防演练获得“先手优势”-安全客 - 安全资讯平台
红蓝对抗 之 防守阵地的有效建设：红蓝对抗 之 防守阵地的有效建设 - FreeBuf网络安全行业门户
攻防演练之资产收敛：攻防演练之资产收敛
再谈互联网资产梳理与暴露面收敛：再谈互联网资产梳理与暴露面收敛 - FreeBuf网络安全行业门户
风险收敛加固指南 : 7个维度，30+Checklist：攻防演练 | 风险收敛加固指南：7个维度，30+Checklist-安全客 - 安全资讯平台
【实用】HW前Linux安全基线检查脚本：【实用】HW前Linux安全基线检查脚本
Windows安全加固总结（非常详细）：Windows安全加固总结（非常详细）零基础入门到精通，收藏这一篇就够了_windows加固 csdn-CSDN博客

常见场景分析

给蓝队防守方的11个忠告：FreeBuf网络安全行业门户
攻防演练中常见的8种攻击方式及应对指南：攻防演练中常见的8种攻击方式及应对指南
防守要点与解决方案：【安天攻防演练专题】防守要点与解决方案-安天 智者安天下
零信任安全在攻防演练中的“防御”之道：https://www.deepcloudsdp.com/news/detail6.html

二、蓝队涉及技术点

流量分析技术

常见Webshell&重大漏洞的流量特征：常见Webshell&重大漏洞的流量特征（附解密流量工具）_cs流量特征-CSDN博客
攻守道：流量分析的刀光剑影：攻守道：流量分析的刀光剑影（上） - FreeBuf网络安全行业门户
基于wireshark对基础恶意流量的分析：https://xz.aliyun.com/t/13000
哥斯拉Godzilla加密流量分析：【原创】哥斯拉Godzilla加密流量分析 - FreeBuf网络安全行业门户
哥斯拉流量加解密浅析（jsp篇）：https://xz.aliyun.com/t/10556
蚁剑流量分析：https://xz.aliyun.com/t/14162

应急响应技术

应急响应实战笔记：https://github.com/Bypass007/Emergency-Response-Notes
应急响应指南：GitHub - theLSA/emergency-response-checklist: 应急响应指南 / emergency response checklist
应急响应所有流程：GitHub - dahailinux/Security-response-process: 应急响应所有流程
Windows应急响应：https://wiki.wgpsec.org/knowledge/hw/windows-emergency-response.html
Linux应急响应：【防守方】Linux应急响应 | 狼组安全团队公开知识库
Webshell查杀：【防守方】Webshell排查 | 狼组安全团队公开知识库
玄机应急响应wp：https://xz.aliyun.com/t/14254

溯源反制技术

浅谈溯源思维：浅谈溯源思维-安全客 - 安全资讯平台
应急响应-应急溯源：https://xz.aliyun.com/t/14197
记对蜜罐的溯源反制研究：https://xz.aliyun.com/t/14317
Mysql蜜罐反制Cobalt Strike：https://xz.aliyun.com/t/11631
HW多人运动溯源及反制指北：https://xz.aliyun.com/t/10268
记对cobalt strike的反制思路研究：https://xz.aliyun.com/t/14464
红蓝对抗系列之浅谈蓝队反制红队的手法一二：https://xz.aliyun.com/t/8385
安全红蓝对抗反制（反捕、画像）：安全红蓝对抗反制（反捕、画像）_网络安全对抗对抗画像-CSDN博客
防守实战-蜜罐反制之攻击链还原：防守实战-蜜罐反制之攻击链还原 - FreeBuf网络安全行业门户
红蓝对抗中的溯源反制实战：红蓝对抗中的溯源反制实战 - 安全内参 | 决策者的网络安全知识库
蚁剑反制技术：蚁剑反制技术_蚁剑 反制-CSDN博客
反制xray：反制终局：最后的拼图Xray
反制goby：闲来无事，反制GOBY（补档&挂人）

三、蓝队相关工具：

！这里请自己注意验后门，有hash的验一下hash，没有hash的建议看下代码或者放虚拟机跑

资产梳理&安全加固

DBJ-边界资产梳理工具：GitHub - wgpsec/DBJ: 大宝剑-边界资产梳理工具（红队、蓝队、企业组织架构、子域名、Web资产梳理、Web指纹识别、ICON_Hash资产匹配）
Windows安全基线核查加固助手：GitHub - DeEpinGh0st/WindowsBaselineAssistant: Windows安全基线核查加固助手
Linux系统一键加固：GitHub - xiaoyunjie/Shell_Script: Linux系统的安全，通过脚本对Linux系统进行一键检测和一键加固

研判分析&流量解密

Shiro反序列化流量自动解密脚本：GitHub - zev3n/Shiro_decode: Shiro反序列化流量自动解密脚本
常见webshell流量一键解密：https://github.com/Potato-py/webshellDecrypt
哥斯拉JSP和java内存马 全流量解密脚本 ：GitHub - AlphabugX/godzilla_decode: Godzilla java Decode,哥斯拉jsp(内存马)流量解密
jspWebshell 解密工具：GitHub - minhangxiaohui/DecodeSomeJSPWebshell: 冰蝎、哥斯拉 jsp webshell通信流量解密器
冰蝎流量解密脚本：GitHub - melody27/behinder_decrypt: 冰蝎流量解密脚本，
CobaltStrike流量解密脚本：GitHub - 5ime/CS_Decrypt: CobaltStrike流量解密脚本
蓝队分析研判工具箱：GitHub - abc123info/BlueTeamTools: 蓝队分析研判工具箱，功能包括内存马反编译分析、各种代码格式化、网空资产测绘功能、溯源辅助、解密冰蝎流量、解密哥斯拉流量、解密Shiro/CAS/Log4j2的攻击payload、IP/端口连接分析、各种编码/解码功能、蓝队分析常用网址、java反序列化数据包分析、Java类名搜索、Fofa搜索、Hunter搜索等。

应急响应&溯源反制

蓝队应急工具：GitHub - RoomaSec/RmTools: 蓝队应急工具
火麒麟-网络安全应急响应工具(系统痕迹采集)：GitHub - MountCloud/FireKylin: 🔥火麒麟-网络安全应急响应工具(系统痕迹采集)Cybersecurity emergency response tool.👍👍👍
TrackAttacker（溯源红队）：GitHub - Bywalks/TrackAttacker: TrackAttacker | 追踪攻击者工具 | HW蓝队 | 溯源必备
npscrack burp插件（针对nps）：GitHub - weishen250/npscrack: 蓝队利器、溯源反制、NPS 漏洞利用、NPS exp、NPS poc、Burp插件、一键利用
JetBrains系列产品.idea钓鱼反制红队：GitHub - no-one-sec/idea-project-fish-exploit: JetBrains系列产品.idea钓鱼反制红队
伪造webshell钓鱼反制蚁剑：GitHub - shiyeshu/antSword-UnrealWebshell: 伪造webshell钓鱼反制蚁剑

四、防守方参考案例：

• 2021HW参考|防守方经验总结：2021HW参考|防守方经验总结_hw项目经验-CSDN博客
• 记一次HVV实战应急响应：记一次HVV实战应急响应 - FreeBuf网络安全行业门户
• 记一次应急响应到溯源入侵者：记一次应急响应到溯源入侵者 - FreeBuf网络安全行业门户
• 记一次HVV真实应急响应与攻击路径溯源：https://cn-sec.com/archives/1093268.html
• 记一次曲折的钓鱼溯源反制：https://xz.aliyun.com/t/11471
• 记一次攻防演练溯源实例：记一次攻防演练溯源实例 - FreeBuf网络安全行业门户
• 记一次蓝队溯源&应急响应：【HVV】记一次蓝队溯源&应急响应(攻防,告警) - AI牛丝

来源：https://github.com/yux1azhengye/BlueTeamReference/tree/main