蓝队基础4 -- 安全运营与监控

devtools/2024/11/20 3:05:28/

声明:
本文的学习内容来源于B站up主“泷羽sec”视频“蓝队基础之网络七层杀伤链”的公开分享,所有内容仅限于网络安全技术的交流学习,不涉及任何侵犯版权或其他侵权意图。如有任何侵权问题,请联系本人,我将立即删除相关内容。
本文旨在帮助网络安全爱好者提升自身安全技能,并严格遵守国家法律法规。任何人利用本文中的信息从事违法活动,均与本文作者和“泷羽sec”无关。请读者自觉遵纪守法,合理合法使用相关知识。


1 SOC管理流程:保障企业信息安全的基石

SOC(Security Operations Center,安全运营中心)是企业信息安全管理的重要组成部分,负责监控、分析并响应网络中的安全事件。为了让SOC与企业的整体信息安全管理体系无缝衔接,理解SOC如何融入ISMS(Information Security Management System,信息安全管理体系)至关重要。

1.1 ISO27001与NIST网络安全框架的标准

ISO27001和NIST网络安全框架是企业安全管理的两大主流标准。ISO27001提供基于控制的审计与认证框架,而NIST网络安全框架则更强调网络攻击的识别、保护、检测、响应和恢复五大阶段。这些标准为企业制定安全策略提供指导,尽管它们并未强制要求建立SOC,因此企业的安全运营方式通常因地制宜。

1.2 信息安全生命周期与管理框架

信息安全的生命周期大体分为安全策略、能力设计、实施和运营四个阶段。戴明环(PDCA)模型,即计划、执行、检查、行动,早期表现出信息安全管理的基本思路。SABSA框架在此基础上进行了拓展,将生命周期划分为战略规划、设计、实施和管理测量四大阶段。

对于渗透测试,SOC操作重在避免被检测;而从防御视角来看,理解SOC的生命周期有助于确保其高效运作。SOC的核心目标是通过监控与事件响应,为企业基础设施与业务流程提供坚实的安全保障。

1.3 SOC分层:职责划分与响应机制

SOC通常按职责和技术复杂性分为不同层级,每个层级处理特定任务:

  • L1层:监控告警、分类事件并处理较小问题。
  • L2层:负责日常事件的分析、遏制及解决。
  • L3层:应对高级威胁,进行损失控制、深入调查和数字取证分析。
  • L4层:管理非事件性流程,例如账户管理、访问权限审核、定期安全报告及其他主动防护任务。

2 日志收集:构建安全监控的基础

日志收集是网络安全监控的基础,它涉及从各种关键日志来源收集数据。这些来源包括但不限于代理服务器、邮件服务器、Web服务器、数据库、身份认证服务器、防火墙、路由器和交换机,以及应用程序服务器和工作站。为了有效地收集这些日志,需要配置日志源以生成日志,并将其转发给日志收集器,然后上传到SIEM(安全信息和事件管理)系统。

在Windows系统中,可以使用事件日志收集和转发机制来获取日志数据。而在Linux系统中,则通常使用syslog来收集和聚合日志,并将其转发到指定的日志收集器。此外,随着物联网技术的发展,楼宇管理和工控网络日志也成为了重要的日志来源,这些系统现在通常连接到企业网络,并可能成为攻击者的主要目标。


3 日志搜索与分析:发现潜在威胁

收集到的日志数据需要进行有效的搜索和分析,以便及时发现潜在的安全威胁。Splunk等日志管理工具提供了强大的日志收集、存储、搜索、分析和可视化功能。此外,SIEM系统能够关联日志与活动,识别可疑内容,而Splunk也可以作为SIEM解决方案之一。


4 监控告警:实时响应网络安全威胁

监控告警是网络安全响应的重要组成部分。告警可以来自SIEM系统,但也可以直接来自安装在系统和网络中的传感器实时告警系统,如IDS(入侵检测系统)设备。此外,事后告警系统,如AIDE(监视系统文件的修改)等,也可以提供重要的安全信息。在某些情况下,事件可能不会从日志或警报中触发,例如攻击者更改了用户密码后,用户可能会直接联系管理员进行通告。


5 事件响应:快速高效的安全事件处置

事件响应是网络安全管理的关键环节。L2级分析师在收到L1级的工单后,会进行分析评估,并进行相应的事件响应流程。数字取证分析是网络安全的一个专门领域,通常由L3级分析师处理。他们会对内存、硬盘等存储设备以合法方式进行取证,以保护数据的完整性。


6 Cyber Hunting(网络狩猎):主动防御新兴威胁

网络狩猎是SOC(安全运营中心)L3级分析师的一门新兴学科。它假设网络已被渗透,通过主动寻找恶意软件(或入侵者),争取在攻击造成损失之前发现。网络狩猎需要寻找一系列指标,以还原网络攻击时间线。MITRE ATT&CK框架是网络威胁猎人的一个关键资源,它提供了攻击者行为方式及其使用工具的信息,有助于发现攻击痕迹。网络威胁搜寻需要非常了解正常状态,并能够识别入侵和异常活动。


7 威胁情报:及时获取新兴威胁信息

威胁情报是网络安全管理的重要组成部分。妥协指标(IOC)是用于识别恶意软件或恶意活动的签名,通常以文件名和哈希值的形式提供。考虑到新威胁信息的规模,手动获取和记录威胁情报已不再可行。因此,自动化威胁管理变得尤为重要。MITRE开发了结构化威胁信息表达(STIX)和可信智能信息自动交换(TAXII)协议,以实现威胁信息的自动提供和摄取。这些协议允许自动获得威胁情报,并将其输入IDS、SIEM等工具,从而实现威胁情报的近乎实时更新,以确保击败已知威胁。此外,AlienVault OTX等开放威胁交换服务也提供了手动访问危害指标的功能。


http://www.ppmy.cn/devtools/135364.html

相关文章

【泛型 Plus】Kotlin 的加强版类型推断:@BuilderInference

视频先行 下面是视频内容的脚本文案原稿分享。 小剧场 面试官:「既然协程和泛型你都熟悉,flow() 函数是怎么实现类型推断的有了解过吗?」 求职者:「嗯……」 求职者:「嗯……在Kotlin协程中,flow 是一种构建…

基于Java Springboot论坛系统

一、作品包含 源码数据库设计文档万字PPT全套环境和工具资源部署教程 二、项目技术 前端技术:Html、Css、Js、Vue、Element-ui 数据库:MySQL 后端技术:Java、Spring Boot、MyBatis 三、运行环境 开发工具:IDEA/eclipse 数据…

wangeditor富文本编辑器以文本的形式展示公式

最终展示的效果 1.首先将要传给后端的富文本值进行转化 //假设workContent是富文本写入的值this.workContent this.escapeHTML(this.workContent)//通过escapeHTML方法转化传给后端 methods:{escapeHTML(str) {return str.replace(/&/g, &) // 将 & 替换为…

移动零

移动零 1、题目描述2、解答思路 1、题目描述 给定一个数组 nums,编写一个函数将所有 0 移动到数组的末尾,同时保持非零元素的相对顺序。 请注意 ,必须在不复制数组的情况下原地对数组进行操作。 2、解答思路 已知数组后端若干元素为0&…

React中使用echarts写出3d旋转扇形图

效果 技术 React TypeScript Less Echarts 代码块 import * as echarts from "echarts"; import React, { useEffect, useRef } from "react"; import "echarts-gl"; import "./index.less";const LeftEcharts () > {const ch…

WordCloudStudio:全面支持Web端,随时随地创建精彩文字云

在当今视觉化表达日益重要的时代,文字云成为了一种流行的内容呈现形式。无论是用于展示数据、分享创意,还是提高内容吸引力,文字云都能带来意想不到的效果。https://wordcloudstudio.com/ 作为文字云制作的领先工具,现在全面支持W…

Redis自学之路—基础数据结构具体方法解析(五)

目录 简介 数据结果具体方法解析 字符串(String) 操作命令 set设置值 setex setnx get获取值 del删除key mset批量设置值 incr数字运算 append追加指令 strlen字符串长度 getset设置并返回原值 setrange设置指定位置的字符 getrange截取字符串 命令的时间复杂…

Python学习26天

集合 # 定义集合 num {1, 2, 3, 4, 5} print(f"num:{num}\nnum数据类型为:{type(num)}") # 求集合中元素个数 print(f"num中元素个数为:{len(num)}") # 增加集合中的元素 num.add(6) print(num) # {1,2,3,4,5,6} # 删除…