蓝队底子:企业网络安全架构与防御策略
声明学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下,如涉及侵权立刻删除文章,条记只是方便各位师傅的学习和探讨,此文章为对视频内容稍加整剃头布,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!有兴趣的小同伴可以点击下面连接进入b站主页(https://space.bilibili.com/350329294)
目录
企业网络架构与管理
高层管理
IT管理
中央技术团队
安全部门
企业管理技术
典范企业网络分区
网络分区概述
含糊的边界
外部攻击面
攻击面管理
身份管理与企业数据安全
识别Windows典范应用
识别Linux典范应用
识别WEB服务
识别客户端装备
身份和访问管理
目录服务
企业数据存储
企业虚拟化平台
数据湖
企业数据库
传统存储形式
安全运营中心(SOC)与管理流程
SOC概述
网络杀伤链
日志收集
日志搜索与分析
监控诉警
事件相应
Cyber Hunting(网络狩猎)
威胁情报
安全管理
零信任网络
安全和底子设施
SABSA多层控制策略与管理事件相应方法
SABSA多层控制策略
管理事件相应的方法
应急相应准备
一、风险评估与威胁分析
二、人员、流程和技术
三、控制
四、成熟度评估
五、应急相应手册概述
六、演练与沟通
七、事件检测与相应
八、陈诉与总结
九、入侵检测与防御
snort工具先容
安装依靠包与配置Snort
文件管理概述(Snort规则配置)
Snort规则配置字段具体描述
具体Snort条件子句示例及表明
外部规则集
In Line部署及阻断操作
总结
企业网络架构与管理
企业技术和信息团队的管理架构因企业的规模、行业特性和业务需求而异,但通常遵照定的框架和原则
高层管理
CIO(首席信息官):负责企业信息系统的战略规划、管理和优化,确保信息技术与企业战略保持同等。
CTO(首席技术官):负责运营技术的整体方向,包括技术创新、研发、技术选型等
从事蓝队需要了解管理人员名词,会需要提交陈诉给管理人员看
IT管理
中央系统:集中管理企业内的全部IT资源,包括软件、硬件和数据
自带装备(BYOD):员工自带移动装备(如手机、平板电脑)接入企业网络,需要制定相应的安全策略和管理规定。
影子IT:员工大概在企业内部搭建的小网络或使用的未经授权的IT装备和软件,这增长了企业的安全风险,需要加以管理和控制。相当于给内网留了后门,攻击者可以通过这些装备或者端口攻击从而轻易拿下内网系统
中央技术团队
客户服务团队:提供技术支持和服务,包括工作站、条记本的维护和服务台支持。
底子设施团队:负责网络、服务器机群的规划、部署和维护。
数据库管理团队:负责数据库存储、备份和规复,确保数据的完整性和安全性。
技术团队:通常由项目驱动,负责采购系统、维护和建立技术运营团队。根据信息技术底子设施库(ITIL)举行日常操作和管理。
安全部门
由CISO(首席信息安全官)领导,负责企业整体的信息安全策略、规划和管理。安全部门需要向CIO、CTO、CFO(首席财政官)和CRO(首席风险官)陈诉,确保信息安全与企业战略、财政和风险管理保持同等。
企业管理技术
信息安全管理成熟度模子(ISM3):描述了企业安全运行和管理流程的成熟度等级,为企业提供了改进信息安全管理的指导。
安全职能:包含战略、战术和运营安全全部方面。由CIS0负责管理运营,确保企业信息安全策略的有效实施和持续改进。
安全团队成员:应了解企业文化、组织和关键人员,以及推动业务乐成的关键流程。这有助于安全团队在企业内部树立积极形象,提高信息安全意识和管理程度。
无论是红队照旧蓝队都需要了解蓝队人员构成,对红队而言也是知己知彼,对蓝队有针对性的攻击,蓝队红队许多方向已经融合到一起,都需要了解
典范企业网络分区
网络分区概述
企业网络通常划分为差别的安全地区,以控制地区之间的访问权限。划分安全区可以防御外部和内部攻击。
DMZ(非军事区):隔离内部与外部系统,提供安全的访问通道。
蜜罐:引诱和分析入侵者,收集攻击信息和活动式。
代理:对外提供有限的服务,保护内部网络免受外部攻击。在红队也可以增长攻击的保密性,乃至挂三四层代理(本机连云服务器,云服务器再连接云服务器,再挂代理)一样平常这样溯源难度非常高
VPN:员工与互助商通过VPN连接内网,确保远程访问的安全性和保密性。
核心网络:通常物理分离、冗余设计,确保网络的稳固性和可靠性。
内部网络:包括有线、无线和VPN接入方式,提供全面的网络覆盖和接入服务
安管区:管理日志、告警和事件,提供实时的安全监控和相应本领。
含糊的边界
随着云计算和SaaS服务的普及,传统网络结构逐渐减少,越来越多地在云中部署底子架构或使用Saas服务。
用户从企业工作站登录到云或SaaS服务,需要企业提供身份凭据同步机制乃至SS0(单点登录)办理方案。
云服务大概涉及在本地运行的硬件,比方Azure AD Connect系统等。
数据通过内部和外部服务举行管理,比方Oracle数据集成器等。
工作负载可以通过0racle服务总线或戴尔云平台等跨混合情况共享,实现资源的机动配置和优化利用。
外部攻击面
攻击面管理
收集开源情报后,绘制网络范围内全部节点,关闭无用节点,减少攻击面。
使用nmap等工具举行网络扫描,比方nmap-Sn<subnet>/24来发现网络中的活跃主机。
重点关注开启SSH服务的未加固装备,实时举行加固和修复。
使用nmap等工具举行服务探测和版本识别,比方nmap-PS -sV ip-address来发现目的主机上开放的服务和版本信息。
测试漏洞入口,大型网络主机和应用程序很容易缺少补丁或配置存在漏洞。使用漏扫软件(如Nessus等)验证漏洞存在性并实时举行修复。
使用searchsploit等工具搜索相关漏洞利用脚本,比方searchsploit<service name>
<version>来查找针对特定服务和版本的漏洞利用脚本。这有助于安全团队实时了解和应对潜在的威胁和漏洞。
蓝队也就是提前对系统做测试,对系统举行优化,用到的方法跟红队差不多
身份管理与企业数据安全
身份管理是确保企业信息安全的关键环节它涉及到对系统中全部用户、装备和服务身份的识别、验证和管理。以下是一些关于身份管理的关键点和工具:
识别Windows典范应用
在Windows情况中,常见的应用和服务包括MicrosoftExchange(邮件服务器)
SharePoint(文档协作平台)和Active Directory(目录服务)。要识别这些应用和服务可以使用网络扫描工具,如sudo nmap-PS-sVsomesystem.com,来探测目的系统上开放的服务和端口。
识别Linux典范应用
在Linux情况中,OpenSSH(安全壳协议)用于远程登录和管理,Samba则用于文件和打印共享。同样,可以使用网络扫描工具来识别这些服务。
识别WEB服务
企业应用或边界装备上的WEB服务也是身份管理的紧张部门。可以使用whatweb
http://someweb.org 等工具来识别WEB服务的类型、版本和配置信息。
识别客户端装备
在内网情况中,客户端装备的身份管理同样紧张。由于管理员的疏忽或配置不当,终端装备大概会暴露在网络中。因此,需要定期扫描和识别内网中的客户端装备,以确保它们符合企业的安全策略。
身份和访问管理
身份以及特权和访问权管理是企业安全的核心。基本工作站和服务器通常维护自己的身份存储,包括用户账号和服务账号。为了确保系统的安全性,平凡用户不能实行系统级配置管理下令,而需要使用sudo权限或以管理员身份运行。有些管理员在内网中为了方便,将全部用户都设置成管理员,这是一种很伤害的操作,只要有一台装备被攻破,整个系统都会被拿下
目录服务
LDAP(轻量级目录访问协议)是一种用于访问目录信息的协议,它广泛应用于AD(ActiveDirectory)和0penLDAP等目录服务中。通过域集中管理,可以实现资源的集中存储和集中管理,包括组策略的应用和更新。
企业数据存储
随着数据分析的兴起和羁系要求的增强,企业需要集中存储和管理大量数据。常见的存储方案包括SAN(存储地区网络)和NAS(网络附加存储)。SAN由高速网络连培多个存储装备构成,提供高性能的数据存储和访问本领;而NAS则是单个装备拥有大量存储,通过本地网络供服务器和工作站访问。
此外,企业还可以使用串行局域网(SoL)协议,使串行数据基于HTTPS传输,以提高数据传输的安全性和可靠性。
企业虚拟化平台
虚拟化平台是企业数据存储和管理的紧张工具之一。常见的虚拟化平台包括VMware的Proxmox等。这些平台可以实现资源的动态分配和优化利用,提高系统vSphere和vCenter的机动性和可扩展性。
数据湖
数据湖是一个生存大量差别形式数据的大型存储库,联合数据分析可以为企业带来额外价直。Hadoop是企业中常见的数据湖办理方案之一,而另一种本地办理方案是DataBricks。此外,还有基于云的大数据办理方案,如Cloudera、Google BigQuery、0racle BigData.Amazon EMR、Azure Data Lake Storage和Azure HDlnsight(基于云的Hadoop)
围绕数据湖有一个完整的技术生态,提供数据摄取管道和数据分析服务。然而,数据湖也面临着安全风险,如Hadoop的YARN服务配置错误大概导致恶意HTTP哀求攻击并获得系统下令行shell。因此,需要增强对数据湖的安全管理和监控。如果拿下数据湖,相当于拿下总数据库。
企业数据库
企业数据库是存储和管理业务数据的紧张工具。常见的SQL数据库包括0racleSQL、Microsoft SQL Server和MySQL等;而嵌入式SQL数据库则包括MariaDB、PostgreSQL和SQLite等。此外,还有非SQL数据库如MongoDB、Redis、Azure CosmosDB和AWS DynamoDB等它们提供了差别的数据存储和查询方式以满足企业的多样化需求。
传统存储形式
传统存储形式中,共享驱动器是一种常见的资源共享方式,它允许用户通过网络协议(如SMB/CIFS)访问远程服务器上的文件和文件夹。使用smbclient下令行工具,可以列出远程服务器上的共享资源,以及从共享资源中下载文件。比方,使用smbclient-L server -U
user下令可以列出指定服务器上的共享资源,而smbclient\\\\someserver\\test -U
user则可以连接到名为test的共享资源,并使用get下令下载文件。
在Windows系统中,还存在一些默认的共享资源,如C(全部驱动器的默认共享)ADMIN管理共享)和IPC$(管道,用于与其他计算机互操作的特殊连接器)。这些默认共享通常用于系统管理和维护任务。
安全运营中心(SOC)与管理流程
SOC概述
S0C(Security Operations Center,安全运营中心)是企业信息安全筹划的紧张构成部门,它负责监控、分析和相应网络中的安全事件。为了将SOC纳入企业的整体信息安全管理体系,需要了解SOC如何适应ISMS(Information Security Management System,信息安全系管理体系)
S027001尺度和NIST网络安全框架是指导企业建立运营安全程序的两个紧张尺度。
S027001尺度提供了一种基于控制方法的审计和认证框架,而NIST网络安全框架则更注重防备和应对网络攻击,包括识别、保护、检测、相应和规复五个阶段。然而,这些尺度并没有具体提出建立SOC的要求,因此每个企业安全运营的组织方法都不尽雷同。
信息安全生命周期通常包括四个阶段:安全策略、本领设计、实施和运营。戴明环(PDCA)是信息安全生命周期的早期表现,它包括筹划、做、查抄和行动四个步调。而SABSA框则对信息安全生命周期举行了改进,将其划分为战略规划、设计、实施和管理丈量四个阶段。
从渗出测试的角度来看,把握SOC的日常操作运动是为了避免被检测出来;而从防御者的角度来看,把握SOC完整的生命周期视图可以确保其有效性。SOC的目的是通过监控和事件相应为底子设施和操作提供安全保障。
SOC通常分为差别的层级,每个层级负责差别的任务。比方:
L1:提供监视告警、分类息争决小问题。
L2:提供对日常事件的分析、遏制息争决。
L3:负责丧失控制、深入观察和取证分析等IR(Incident Response,事件相应)事件A
L4:安全管理,负责日常、非事件相关的程序,如开设账户、访问授权审查、定期安全陈诉和其他主动安全程序。
网络杀伤链
网络杀伤链模子描述了网络攻击的七个阶段,这些阶段共同构成了攻击者从信息收集到实现攻击目的的完整过程。以下是网络杀伤链的具体阶段:
侦察(Reconnaissance):攻击者对目的举行信息收集和探测,了解目的的网络架构、系统配置、潜在漏洞以及用户运动等相关情况。这一阶段旨在为后续攻击做准备。
例:信息搜集
武器化(Weaponization):根据侦察所获取的信息,攻击者将恶意软件或攻击工具举行定制和包装,使其能够利用目的系统的特定漏洞。这一阶段将平凡的恶意软件或工具转化为具有攻击性的‘’武器‘’。
例:主流漏洞扫描工具有特征会被屏蔽,自行将漏洞扫描工具特征修改再举利用用(需要有代码底子)
投送(Delivery):将经过武器化处理的恶意软件或攻击工具投送到目的系统或网络中。常见的投送方式包括通过电子邮件附件、恶意链接、受感染的移动存储装备等。
例:群发垂纶短信
利用(Exploitation):一旦投送乐成,恶意软件会利用目的系统存在的漏洞来触发并行恶意代码,从而获取对目的系统的初步访问权限或控制权。
例:
安装(Installation):在乐成利用漏洞进入目的系统后,攻击者会进一步在目的系统内安装额外的恶意软件组件,如后门程序、远程控制工具等。这些组件允许攻击者长期、稳固地控制目的系统。
例:长期化apt,进入后放免杀木马,,方便以后进入
指挥与控制(Command & Control):安装在目的系统内的恶意软件会与攻击者所控制的外部服务器建立连接。这一连接允许攻击者远程对目的系统下达指令、获取数据以及举行进一步的操控。
例:文件上传一句话木马后,通过蚁剑或菜刀举行远程连接
行动(Action):这是网络攻击的最后阶段。攻击者通过已经建立的指挥与控制通道目的系统上实行其预期的恶意运动,如偷取敏感信息、篡改数据、发起拒绝服务攻击等这些运动旨在告竣攻击者的目的。
例:已经入侵进去之后,放进病毒,在内网举行横向移动
日志收集
日志收集是网络安全监控的底子,它涉及从各种关键日志来源收集数据。这些来源包括但不限于代理服务器、邮件服务器、Web服务器、数据库、身份认证服务器、防火墙、路由器和交换机,以及应用程序服务器和工作站。为了有效地收集这些日志,需要配置日志源以天生日志,并将其转发给日志收集器,然后上传到SIEM(安全信息和事件管理)系统。
在Windows系统中,可以使用事件日志收集和转发机制来获取日志数据。而在Linux系统中,则通常使用syslog来收集和聚合日志,并将其转发到指定的日志收集器。此外,随着物联网技术的发展,楼宇管理和工控网络日志也成为了紧张的日志来源,这些系统如今通常连接到企业网络,并大概成为攻击者的主要目的。
日志搜索与分析
收集到的日志数据需要举行有效的搜索和分析,以便实时发现潜在的安全威胁。Splunk等日志管理工具提供了强盛的日志收集、存储、搜索、分析和可视化功能。此外,SIEM系统能够关联日志与运动,识别可疑内容,而Splunk也可以作为SIEM办理方案之一。
监控诉警
监控诉警是网络安全相应的紧张构成部门。告警可以来自SIEM系统,但也可以直接来自安装在系统和网络中的传感器实时告警系统,如IDS(入侵检测系统)装备。此外,事后告警系统,如AIDE(监视系统文件的修改)等,也可以提供紧张的安全信息。在某些情况下,事件大概不会从日志或警报中触发,比方攻击者更改了用户暗码后,用户大概会直接接洽管理员举行通告。
事件相应
事件相应是网络安全管理的关键环节。L2级分析师在收到L1级的工单后,会举行分析评估,并举行相应的事件相应流程。数字取证分析是网络安全的一个专门领域,通常由L3级分析师处理。他们会对内存、硬盘等存储装备以合法方式举行取证,以保护数据的完整性。
Cyber Hunting(网络狩猎)
网络狩猎是SOC(安全运营中心)L3级分析师的一门新兴学科。它假设网络已被渗出,通过主动寻找恶意软件(或入侵者),争取在攻击造成丧失之前发现。网络狩猎需要寻找一系列指标,以还原网络攻击时间线。MITRE ATT&CK框架是网络威胁猎人的一个关键资源,它提供了攻击者活动方式及其使用工具的信息,有助于发现攻击痕迹。网络威胁搜寻需要非常了解正常状态,并能够识别入侵和非常运动。
威胁情报
威胁情报是网络安全管理的紧张构成部门。妥协指标(IOC)是用于识别恶意软件或恶意运动的署名,通常以文件名和哈希值的形式提供。思量到新威胁信息的规模,手动获取和记录威胁情报已不再可行。因此,自动化威胁管理变得尤为紧张。MITRE开辟了结构化威胁信息表达(STIX)和可信智能信息自动交换(TAXII)协议,以实现威胁信息的自动提供和摄取。这些协议允许自动获得威胁情报,并将其输入IDS、SIEM等工具,从而实现威胁情报的近乎实时更新,以确保击败已知威胁。此外,AlienVault OTX等开放威胁交换服务也提供了手动访问危害指标的功能。
安全管理
安全管理是一组确保公司业务安全的日常流程。它涵盖了多个方面,包括身份管理(IAM)、访问控制、特权管理(PAM)、媒体消毒、人事安全、证书管理以及远程访问等。IAM是任何安全程序的底子,也是黑客攻击的主要目的。访问控制需要配置和验证用户访问系统的权限,并制定审计规则。PAM系统使非特权用户能够哀求特权访问,以提拔权限。媒体消毒涉及在生命周期竣事时对敏感数据举行安全清算和烧毁。人事安全是公认的业务安全程序之一。证书管理对于维护PKI架构的完整性至关紧张。而后疫情时代,远程访问已成为攻击的重点,因此需要增强对其的安全管理。
零信任网络
概念:在2010年谷歌遭受极光行动网络攻击之后,其内部网络管理方式发生了深刻厘革,并创造了“零信任”一词,用以描述一种始终假设内部网络大概已被破坏的运行方式。这种全新的安全理念在NIST特别出版物800-207:零信任架构中得到了正式确立,并现已成为全部美国政府机构必须强制实施的安全尺度。
零信任架构的核心在于其四个关键特征:
即时访问(Just-In-Time Access, JITA):用户或服务在需要时才被授予访问权限,且权限具偶然效性,一旦任务完成或时间逾期,权限即被收回。
只需充足的访问权限(Least Privilege Access, LPA 或 JEA, Just Enough Access):用户或服务仅被授予完成特定任务所需的最小权限集,以减少潜在的安全风险。
动态访问策略:访问控制策略根据用户身份、装备状态、位置、时间等多种因素动态调解,以适应不绝厘革的安全情况。
微观分割:将网络划分为多个小型的、相互隔离的安全地区,以限制攻击者在网络内的横向移动本领。
安全和底子设施
在构建零信任网络的同时,还需关注以下安全和底子设施方面的要素:
数据备份/规复:作为紧张的运营技术,数据备份在发生劫难或攻击事件时,是规复业务一连性和数据完整性的关键安全资产。
变更管理:安全策略需要与系统的厘革过程紧密关联,确保在提交变更前已充分评估风险,并制定具体的变更管理筹划,包括推出筹划、回滚筹划、影响评估和依靠关系清单。
管理物理情况:数据中心情况的物理和电子安全同样紧张,包括物理访问控制、机房情况监控(如功率、温度、气压等)。
SABSA多层控制策略与管理事件相应方法
有效的事件相应机制是零信任网络不可或缺的一部门。事件管理生命周期通常包括以下几个阶段:
准备:了解系统及现有控制步伐,通过培训和演练提高组织的应急相应本领。
相应:识别安全事件、举行观察、接纳行动以相应事件并规复业务服务。
后续:事后进一步观察、形成陈诉、总结履历教训,并据此改进安全流程和策略。
SABSA多层控制策略
SABSA(Sherwood Applied Business Security Architecture)多层控制策略提供了一种全面的安全框架,包括威慑、防备、遏制、检测和关照规复等多个条理的控制步伐。
管理事件相应的方法
NIST特别出版物800-61:计算机安全事件处理指南提供了一种尺度化的事件相应方法,包括检测和分析、遏制、根除和规复以及事件后运动等阶段。此外,PDCA(Plan-Do-Check-Act)循环也被广泛应用于事件相应生命周期的优化和持续改进中。
应急相应准备
在构建全面的应急相应体系时,我们需要从多个维度举行准备,包括但不限于风险评估、威胁分析、人员、流程和技术配置,以及持续的控制和成熟度评估。
一、风险评估与威胁分析
风险评估:深入了解组织的技术资产、系统和数据,并明白它们对业务的紧张性,从而确定关键保护对象。
威胁分析:通过策略、技术和实践来识别潜在的风险点,并据此制定和实施相应的控制步伐。
二、人员、流程和技术
建立团队:组建专业的应急相应团队,明白各成员的角色和责任。
配备工具:为团队提供必要的应急相应工具和装备,如日志分析工具、网络扫描器等。
制定流程剧本:针对差别类型的安全事件,制定具体的应急相应流程和剧本。
演练:定期举行应急相应演练,以提拔团队的实战本领和协同效率。
三、控制
相应手册:编制应急相应手册,明白在差别安全事件发生时应实行的尺度操作程序。
事前流程规避:通过制定和实行严格的安全政策和流程,尽大概减少安全事件的发生。
事中数据支持:在事件发生时,提供必要的数据支持和分析工具,资助团队快速定位问题。
事后备份规复:确保有可靠的数据备份和规复机制,以便在事件发生后能够迅速规复业务。
四、成熟度评估
CREST成熟度评估工具:利用CREST提供的成熟度评估工具,对组织的应急相应本领举行持续评估和改进。
流程培训+实践技能培训:联合理论培训和实践技能培训,提拔团队的整体应急相应程度。
五、应急相应手册概述
该手册具体规定了在差别安全事件发生时应实行的尺度操作程序,涵盖了扫描、托管威胁、入侵、可用性、信息、敲诈、恶意内容、恶意软件检测、技术诚信和偷窃等多个安全事件类别。每个类别下都包含了具体的应急处理流程和操作规范。
六、演练与沟通
演练:通过红蓝对抗等模拟真实攻击场景的方式,锻炼团队的应急相应本领,并验证应急筹划的有效性。
沟通:在应急相应过程中,实时、充分、正确的信息沟通至关紧张。沟通对象包括内部员工、外部互助同伴、客户、媒体和政府等。
七、事件检测与相应
事件上报:一旦发现安全事件,立刻举行上报。
系统监控与查抄日志告警:利用系统监控工具和日志分析技术,实时发现并相应安全事件。
确定事件级别:根据事件的严峻程度和影响范围,确定事件的级别。
观察事件:对事件举行深入观察,包括溯源取证等。
接纳遏制步伐:根据观察结果,接纳必要的遏制步伐,防止事件进一步扩大。
八、陈诉与总结
编写应急相应陈诉:具体记录事件的经过、处理过程和结果,以及后续的观察筹划和改进建议。
履历总结与改进建议:对事件处理过程中的履历和教训举行总结,并提出针对性的改进建议。
九、入侵检测与防御
snort工具先容
Snort:利用Snort等入侵检测和防御系统,对网络流量举行实时监控和分析,实时发现并制止网络威胁。
流量分析:通过流量分析技术,发现恶意流量,并接纳相应的告警和制止步伐。
IDS与IPS:根据实际需求,选择合适的部署方式(带外监视或串联部署),以实现更高效的入侵检测和防御。
安装依靠包与配置Snort
安装DAQ数据采集库:为Snort提供必要的数据采集支持。
安装内存分配器:确保Snort在运行过程中有充足的内存资源。
安装配置Snort3:根据实际需求,安装并配置Snort3,包括自定义规则等。
自定义规则示例:如针对发往特定系统或子网中IP地址的任何流量发出警报等。
文件管理概述(Snort规则配置)
在网络安全监控中,Snort等工具的规则配置是关键。规则定义了如何检测和处理网络流量,并触发相应的告警。这些规则包含多个字段,每个字段都饰演着特定的角色,共同确保网络运动的正确监控。
Snort规则配置字段具体描述
alert
含义:指示这是一个告警规则。当流量匹配规则时,Snort将天生告警。
示例:alert icmp any any -> $HOME_NET any (msg"Test Ping Event"; ...)
icmp/tcp/udp
含义:指定要监控的协议类型(如ICMP、TCP、UDP)。
示例:alert icmp ... 或 alert tcp ...
any
作为源/目的IP或CIDR:表示任意IP地址。
作为源/目的端口:表示任意端口。
示例:any any(任意源IP和端口)
< >(方向运算符)
含义:指示流量的方向。
示例:-> 表示从源到目的的流量。
$HOME_NET
含义:在Snort配置中定义的本地网络。
示例:$HOME_NET 替换具体的IP范围。
msg
含义:告警的描述性名称。
示例:msg"Test Ping Event"
sid
含义:规则的唯一署名ID。
示例:sid:1000001
rev
含义:规则的版本号,用于跟踪更新。
示例:rev:1
classtype
含义:告警的分类类型。
示例:classtype:icmp-event
content
含义:在流量中查找的特定内容。
示例:content:"Login incorrect"
本地账号与Snort条件子句概述
Snort可通过设置条件子句来监控本地账号相关运动,如失败的登录实验。当满足条件时,触发告警或实行其他操作。
具体Snort条件子句示例及表明
示例:查抄失败的telnet登录实验
规则语句:
alert tcp $HOME_NET 23 -> any any (msg:"Failed login attempt"; content:"Login incorrect"; sid:1000002; rev:1; classtype:attempted-user;)
具体表明:
协议及源目的设定:
alert tcp:针对TCP协议的告警。
$HOME_NET 23:源网络为本地网络,端口为23(Telnet)。
-> any any:流量流向任意目的IP和端口。
告警信息及分类相关:
msg:"Failed login attempt":告警名称为“Failed login attempt”。
content:"Login incorrect":流量中需包含“Login incorrect”字符串。
sid:1000002:规则的唯一署名ID为1000002。
rev:1:规则版本号为1。
classtype:attempted-user:告警分类为“attempted-user”。
外部规则集
相关网址:
Proofpoint:大概提供网络安全规则和建议。
Emerging Threats:提供新兴威胁相关的规则集。
In Line部署及阻断操作
In Line部署:
Snort直接介入网络流量路径,实现实时处理。
阻断操作:
D drop:抛弃符合特定条件的流量。
sdrop:雷同D drop,但具体实现大概有所差别。
reject:拒绝流量并发送拒绝相应给源端。
通过综合运用Snort的规则配置、外部规则集以及In Line部署和阻断操作,可以实现对网络运动的全面、有效监控和安全防护。这要求管理员深入理解Snort的配置字段和条件子句,并能够根据实际情况机动设置和调解规则,以确保网络的安全性和稳固性。
总结
重点突出蓝队在企业网络安全中的多种职能与责任。蓝队不但需要了解和管理技术层面的安全步伐,还需要在管理层和策略层面发挥紧张作用,从身份管理到漏洞扫描、从事件相应到零信任架构的实施,蓝队的工作贯穿于企业网络安全的各个方面。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]