企业安全建设中告警是必不可少的一环,做为安全运营人员,应当在爆出新漏洞时第一时间获取讯息并着手应急进行内部排查,防止漏洞被外部利用造成损失。网上有开源的基于GitHub的CVE及其POC监控,大多数厂...
腾讯 SOAR 的安全运营探索
文|腾讯“洋葱”入侵对抗团队Conan、Uny背景作为一名安全应急人员,每天要处理安全系统的大量告警,据笔者了解有些公司的安全应急人员每天要处理几百甚至上千个告警,而大部分是无效告警,其中真正的安全事...
文件包含导致的站点再次沦陷!
继上篇应急处理后记。上次经过排查黑客通过前端upload接口传马后,在框架文件中埋下后门,替换最新框架以及检查前后端控制器后,本以为已经完全封锁了攻击入口,但是态势感知新的告警接踵而至。收到最新告警:...
【攻击意图评估:总集篇】手把手教你搭建告警筛选系统
一、前情提要在前三篇文章(【攻击意图评估:序】误报太多?谈海量告警筛选、【攻击意图评估:一】业界难题?谈自动化筛选关键告警的可行性、【攻击意图评估:二】AI不好用?融入专家知识的告警筛选实战)中,我们...
【安全告警数据分析之道:一】数据透视篇
摘要日前,在企业安全运营当中,SIEM的热潮已经逐渐淡去,很多企业已经逐渐成立了安全运营中心(SOC),收集到了海量安全数据。但是如何利用这些数据,如何进行分析等问题并没有很好地解决。数据往往只是做简...
【安全告警数据分析之道:二】数据过滤篇
引言在系列文章《数据透视篇》中我们提到,安全设备每天所产生的告警量非常庞大,常常达到上千万量级,而绝大部分的告警都是由正常流量造成的,本文为系列文章的第二篇,浅谈这些误报的形成原因,并且阐述过滤这些误...
杂谈 APT(下)
---------------------------------------------------------------------我发誓,再也不会将文章拆成上下篇,思路断的实在是太厉害。---...
记一次“本以为简简单单但发现有一丁点复杂”的安全分析事件
在我们使用态势感知等安全设备从事安全分析工作时间较长后总会产生思维惯性,从而会忘记了如何人工进行安全分析。有时给到客户的建议却解决不了实际问题,所以如何结合人工分析并掌握从而达成一次较为高效并且能解决...
高可用 Prometheus 架构实践中的踩坑集锦
监控系统的历史悠久,是一个很成熟的方向,而 Prometheus 作为新生代的开源监控系统,慢慢成为了云原生体系的事实标准,也证明了其设计很受欢迎。本文主要分享在 Prometheus 实践中遇到的一...
2021HW培训及HW人员招募
HW将至,鉴于很多粉丝提到希望有一次HW培训的活动,我们特意准备了一期长达5天的HW培训,希望能让没有参加过HW的同学能够成功通过HW面试,让初级的人员能升为中级,让参加培训的粉丝都能收获一定技术能力...
2021护网日记(十一)- 4/17 有告警,我不报,哎 ,就是玩儿
4月17日,护网第10天,倒计时第5天,天气:阳光刺眼。夜班后睡了一天,满血复活去上班(“接锅”)。HW“接锅”日常:上一班留下啥又让我“背锅” 、监测组依然不分析直接“甩锅”、业务生产环境...
2021护网日记(十一)- 4/17 有告警,我不报,哎 ,就是玩儿
4月17日,护网第10天,倒计时第5天,天气:阳光刺眼。夜班后睡了一天,满血复活去上班(“接锅”)。HW“接锅”日常:上一班留下啥又让我“背锅” 、监测组依然不分析直接“甩锅”、业务生产环境...