不知道后面会不会继续更新这个内容,先挂个编号1
前言:
(若有人认出来图片为哪家厂商产品,如若涉及侵权请联系删除,(我也怕))
上图
G了,哈哈哈(少不更事,只觉花花世界,纸醉金迷,乱人眼~嘿嘿)
跑题了,说正事儿
渗透测试出来找工作嘛,那肯定现在啥岗位都得试试啊,安服什么的,不过真有安服的面试又怕没接触过,问啥都回答的底气不足。
其实这玩意儿,真别说,还真是有手就行。处置告警什么的,你只是没见过而已,不清楚具体的东西(鼠标点点点的事儿)(后续附态势感知图)
一、告警监控处置
-
说说基本流程:(这个要记
![浅谈安服内容(1)]( "浅谈安服内容(1)")
) -
发现告警,首先判断ip是否为白名单地址(这个白名单会有人提供给你,不然万一你把人正常的业务ip给封了是吧)
-
查看告警日志,判断是否存在漏洞的poc或者exp,是否存在攻击行为(这玩意儿产生告警,态势感知上都可以看见)
-
若存在攻击行为,判断是否攻击成功并封禁ip
-
若攻击成功则进行应急响应和溯源处理
-
如果是内网的告警,则需要联系客户询问该告警地址是否为正常的业务行为
-
若不正常,则要找到产生告警的主机进行判断(当然正常情况下,内网的告警多为误报)
-
告警恶意ip判断
大致分为两大类:公网ip,私网ip。
然后,公网ip继续划分:国内的,国外的。
主要看攻击者ip,或许别的称呼为源ip。然后是受害者ip,目标ip。(自家的服务)(大梦初醒,恍如昨日,回首往昔,仍少年~)
通过告警级别判断严重性,通过对应告警的查看详情进一步分析,正常情况下攻击者ip为内网的(这个ABC三类的内网地址有哪些不用我说了吧?),大多数为误报,处置告警误报就可以。攻击者ip为公网的ip时。不论国内国外,都得先去ip白名单里找找有没有这个ip,因为有的可能是审计或者渗透的代理ip。也有可能是漏扫服务的ip。别误封(否则你会很尴尬)。如不是白名单地址,然后去平台上查找该ip的威胁情报判断该ip是否为恶意ip,是,就给他封了(这个封ip,应该是先把恶意ip收集到一个表格里,然后提交封禁申请)。
![浅谈安服内容(1)]( "浅谈安服内容(1)")
你要是不想去查这个ip是否是恶意ip,那你查白名单的时候,白名单里没有就直接给他收集下来提交ip封禁申请。手起刀落,一刀一个(不怕挨叼的)
-
查看告警详细信息
![浅谈安服内容(1)]( "浅谈安服内容(1)")
![浅谈安服内容(1)]( "浅谈安服内容(1)")
![浅谈安服内容(1)]( "浅谈安服内容(1)")
-
查看告警日志
![浅谈安服内容(1)]( "浅谈安服内容(1)")
![浅谈安服内容(1)]( "浅谈安服内容(1)")
![浅谈安服内容(1)]( "浅谈安服内容(1)")
-
处置告警
处置告警:安全事件,安全告警
选择处置状态,然后选择处置状态即可(内网多为误报,外网基本为攻击失败)
![浅谈安服内容(1)]( "浅谈安服内容(1)")
-
安全设备告警类型
扫描探测、漏洞攻击、web攻击、威胁情报、恶意程序、邮件攻击
)那让我们先看看态势感知长什么样
帅不帅?酷不酷?当然不止这一个页面,还有更多,可以自定义
然而并没有什么用,因为处置告警不在这儿,emm...摸鱼的时候可以点出来看看,嘿嘿
(然后会进一步细分就不说了)
二、安全加固
所谓的安全加固,我接触的就是别人的安全产品,搭建了一个服务,网页访问。上传需要加固的包,选择对应的安全策略开始然后等着就行,加固完之后把加固包再下载下来。
里面涉及几个点
第一个,需要安全加固的包,这个程序不是你写
第二个,使用的安全策略,也不是你写
(就是负责上传下载一下而已
)
三、安全测评
和安全加固一样,上传需要测评的包,根据提供的文档,过滤掉哪些不需要测评的漏洞选项即可,测评完成下载对应测评报告表格。
(关于这俩我就得吐槽了,md包与策略俩都不是我写的,就负责上传下载而已,然后有问题不对还得挨顿叼
,艹这两边的沙b)
(世人皆在冷眼笑骂之中百无聊赖度余生~)
原文始发于微信公众号(小白摸坑学网安):浅谈安服内容(1)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论