网安引领时代,弥天点亮未来
https://github.com/SigmaHQ/sigma/1、规则经常更新2、内容包括需要检测的日志源+ATT&CK标签3、适合SOC和SIEM,这些日志管理平台
(2)、需要的日志源:windows的文件重命名日志
(3)、数据采集:
(备注:能用sysmom就用sysmom,如果用不了就写脚本监控,实际测试占不了多少机器性能的,sysmom+脚本组合)
(4)、日志发送:
(5)、解析日志样本
(6)、编写告警规则
根据该ATT&CK的规则描述,在原文件后缀增加未知后缀,排除常见后缀,是一个可疑行为
例如原文件doc变成doc.lock,但是不包含doc.tmp这些
(7)、尝试触发告警
6、最后的总结:
7、python脚本监控性能测试(全磁盘监控):
8、欢迎大家关注弥天安全实验室公众号。
知识分享完了
喜欢别忘了关注我们哦~
学海浩茫,
弥 天
安全实验室
原文始发于微信公众号(弥天安全实验室):【威胁感知】ATT&CK攻击链规则检测梳理实践
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论