攻防演练中,设备会产生大量报警,一看其中高危事件不在少数。非临时工小张们基于关联数据进行大量分析,最后才确认这只是一次Botnet或者来自黑产的自动化扫描攻击行为。吭哧吭哧干了半天,重保了个寂寞啊!!!此时也不知道该心疼日渐后移的发际线,还是可以松口气了(那是不可能的,也就只能想想)。
防守方淹死在“Alert DDoS”里?中了“调虎离山”之计?误拦截关键业务设施产生“事故锅”?怎么破?360情报社区帮你!
360智能情报通过提供域名、IP相关访问意图、威胁类型、所属用户等丰富的上下文信息,帮助防守方快速、准确地决策,提升防守效果。
下面以360情报社区(ti.360.cn)为例,介绍一些典型的使用案例。
基于360安全大数据和攻防经验积累,精准识别攻击方高频使用的攻击平台、攻击工具,CobaltStrike们也好、Nessus们也好,一网打尽。产生强相关的高价值情报,帮助防守方更聚焦和接近真实的攻击队。如何实现?请在情报社区输入可疑IP、域名等,即可获得相关信息。
事件报警中有大量合法意图的访问,如大网测绘、搜索引擎等;也包括很多自动化探测、蠕虫传播扫描的情况;还会遇到一些典型的白名单资产。如何判别,请使用360情报社区查询,即可快速获取相应信息用于决策。
无论从流量检测设备还是蜜罐中发现的可疑远控服务器,经常碰到的情况是,花了大量时间分析,却发现只是一个常规的蠕虫或木马,和当前的关键工作没有多大关系。这些常见耗费手工分析时间和力气的坑还包括:
如何避坑,请使用360情报社区进行查询,数秒内获得上述结果。
部分报警的分析,如果仅依赖简单维度的数据往往会形成误判,往往需要分析人员有较丰富的经验加以鉴别。这时候除了常规情报查询,推荐使用智能分析模块,即获惊喜。它整合了情报数据、分析知识和运营经验,能给出更多有决策价值的结果。比如下面这种利用知名互联网服务进行的反射型攻击,虽然不复杂但也有可能会让小张们忙中出错。
限时开放360情报社区免费注册,请访问https://ti.360.cn进行获取。
政企用户可申请试用高级权限,请在个人主页认证企业信息或咨询360政企安全集团商务团队。
本文始发于微信公众号(360威胁情报中心):360情报社区快速使用指引
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/333721.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论