ToBeWritten之VSOC安全运营

news2024/11/27 12:52:10

也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大

少走了弯路,也就错过了风景,无论如何,感谢经历


转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球

感谢大家一直以来对我CSDN博客的关注和支持,但是我决定不再在这里发布新文章了。为了给大家提供更好的服务和更深入的交流,我开设了一个知识星球,内部将会提供更深入、更实用的技术文章,这些文章将更有价值,并且能够帮助你更好地解决实际问题。期待你加入我的知识星球,让我们一起成长和进步


汽车威胁狩猎专栏长期更新,本篇最新内容请前往:

  • [车联网安全自学篇] 汽车威胁狩猎之关于威胁狩猎该如何入门?你必须知道的那些事「7万字详解」

本文内容请忽略… …

0x01 威胁狩猎技巧 1:了解你的环境中什么是正常情况,那么你将能够更容易地发现异常情况

太多的企业试图在不了解他们的环境的情况下,跳入威胁狩猎的深渊(这是一个追逐松鼠和兔子,而且收效甚微的方法)。 威胁狩猎最终是在一个环境中寻找未知因素的做法,因此,了解什么是 “正常业务” 与 “可疑”、甚至 “恶意” 相比是至关重要的

在这里插入图片描述

为了理解环境,请确保你能获得尽可能多的信息,包括网络图、以前的事件报告,以及能得到的任何其他文件,并确保你拥有网络和终端层面的日志,以支持你的狩猎

0x02 威胁狩猎技巧 2:当建立狩猎活动时,根据你的假设,从一般的情况开始,再到具体的情况。通过这样做,可以创建上下文,并了解你在环境中寻找的是什么

当建立狩猎活动时,根据你的假设,从一般的情况开始,再到具体的情况。通过这样做,可以创建上下文,并了解你在环境中寻找的是什么

当威胁猎手第一次在结构化的威胁狩猎中崭露头角时,他们中的许多人都在努力建立他们的第一个假设。许多人发现这个过程,具有挑战性的原因往往是他们试图有点过于具体了。与其直接跳到细节上,不如先尝试在你的假设中更多地体现出一般的情况。通过这样做,你将更好地塑造你的狩猎,并在此过程中增加额外的上下文信息

0x03 威胁狩猎技巧 3:有时,最好狩猎你了解和知道的事物然后进行可视化,而不是狩猎你专业知识之外的事物,并尝试进行可视化到你知道的事物上

有时,在你了解和知道的事情上狩猎,然后再进行可视化,与在你的专业知识之外的事情上狩猎,并试图可视化到你知道的事情上,效果更好。

新的猎手遇到的最常见的挑战之一是,很容易很快摆脱困境。并不是每个信息安全专业人员,都是所有领域的专家,在威胁狩猎方面也是如此

无论你,是刚开始,还是已经狩猎了一些时间,同样的建议是正确的:狩猎你理解的东西,然后通过可视化来挖掘这些数据。这可以确保你理解你正在查看的东西,并让你对数据进行理解,以及理解你是如何到达那里的

如果,试图在你不了解的数据上狩猎,你更有可能倾向于你了解的数据,并对其进行可视化,这可能或不可能真正导致有意义和有价值的狩猎

0x04 威胁狩猎技巧 4:并非所有假设都会成功,有时可能会失败。但是不要气馁,回去再测试一下

与威胁保护和威胁检测等事情不同,威胁狩猎远不是一件肯定的事情。事实上,威胁狩猎的本质意味着你正在寻找未知的事物。正因为如此,所以并不是你狩猎的每一个假设都会成功。事实上,大多数猎手都知道,虽然他们可能会花几个小时,去挖掘他们发现的兔子洞,但这个洞更有可能导致一个使用 PowerShell 的高级用户来节省一些时间,而不是一个想要加密你的域控制器的高级攻击者

不要让这些时刻,让你灰心丧气!记录你的发现,不要让它成为你的负担。记录你的发现,不要气馁,并继续狩猎。从长远来看,它将会得到回报

0x05 威胁狩猎技巧 5:了解你的工具集及其数据功能,与执行你的狩猎同样重要。如果你没有验证工具中是否存在预期的数据,则误报就会潜伏在每个角落

虽然,在 IT 领域几乎每个人都明白,每个工具和技术都是不同的,并且都有特定的局限性。但有时安全人员(尤其是威胁猎手),可能会认为这是理所当然的

关于 “了解你的技术”,最重要的概念之一是了解它的能力,以及它的局限性是什么。如果你在不了解的情况下贸然前进,很可能会产生误报的结果,给安全团队一种错误的安全感

在建立你的狩猎系统之前,必须测试和验证你的搜索查询,以确保它们返回你所期望的结果,这是至关重要的

参考链接

https://blog.csdn.net/Ananas_Orangey/article/details/129491146


你以为你有很多路可以选择,其实你只有一条路可以走


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/952541.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【ES】illegal_argument_exception“,“reason“:“Result window is too large

查询ES数据返回错误: {"root_cause":[{"type":"illegal_argument_exception","reason":"Result window is too large, from size must be less than or equal to: [10000] but was [999999]. See the scroll api for…

直播预告|博睿学院第四季即将开讲:博睿数据资深运维团队现身说法!

博睿学院第四季开讲啦!本季博睿学院的课程将于本周四(8月31日)16点正式启动。本季我们邀请到了博睿数据平台支撑中心的四位资深运维专家现身说法,来为我们分享一体化智能可观测平台Bonree ONE的实践干货。 他们,见多识…

Gradio使用介绍

与他人分享你的机器学习模型、API或数据科学工作流的最佳方式之一,就是创建一个交互式应用程序,让用户或同事可以在他们的浏览器中尝试演示,Gradio是创建提供了用非常方便的方式快速创建一个前端交互应用,那如何使用Gradio呢?因为…

element侧边栏子路由点击不高亮问题

最近自己封装侧边栏 又碰到了点击子路由不高亮的问题 <template><div class"aside"><el-scrollbar :vertical"true" class"scrollbar_left_nav"><el-menu :default-active"defaultActive" :collapse"$stor…

MySQL高级篇_13_事务基础知识_尚硅谷_宋红康

MySQL高级篇_事务基础知识 1. 数据库事务概述1.1 存储引擎支持情况1.2 基本概念1.3 事务的ACID特性原子性&#xff08;atomicity&#xff09;一致性&#xff08;consistency&#xff09;隔离性&#xff08;isolation)持久性&#xff08;durability&#xff09; 1.4 事务的状态 …

Openlayers 教程 - 获取地图中心点、范围以及缩放等级

Openlayers 教程 - 获取地图中心点、范围以及缩放等级 核心代码完整代码&#xff1a;在线示例 之前项目中需要实时获取地图中心点以及范围&#xff0c;难度不高&#xff0c;为了方便使用&#xff0c;这里记录分享一下。 本文包括核心代码、完整代码以及在线示例。 核心代码 //…

Consul原理介绍

官方文档&#xff1a;https://www.consul.io/docs Raft动画演示&#xff1a;http://thesecretlivesofdata.com/raft/ 注册中心对比 Consul特点 服务发现、健康检查、Key/Value存储、安全服务通信&#xff08;TLS证书&#xff09;、多数据中心 架构 角色 数据中心 数据中心内…

windows 中pycharm中venv无法激活

1.用管理员身份打开Windows PowerShell 2.进入项目的&#xff1a;venv\Scripts 如&#xff1a;D: (1): cd .\project\venv\Scripts\ (2): 执行命令&#xff1a; Set-ExecutionPolicy RemoteSigned (3): 选择&#xff1a;Y (4): .\activate

使用生成式 AI 和 Amazon Kendra 实现企业规模的图像字幕创建和搜索

Amazon Kendra 是一个由机器学习(ML)驱动的智能搜索服务。Amazon Kendra 重新构想了您的网站和应用程序的搜索功能,以便您的员工和客户可以轻松地找到散布在您组织内多个位置和内容存储库中的内容。 亚马逊云科技开发者社区为开发者们提供全球的开发技术资源。这里有技术文档、…

Linux启动黑屏卡住Logo登录界面无法进入系统的终极解决方式

Linux启动黑屏 卡住Logo登录界面无法进入系统的终极解决方式 "⮫适用于ubuntu系统⮨" 起因经过方法1--甲说方法2--乙说方法3--丙说方法4--丁说 结果中途误删ubuntu的etc文件如何恢复于是&#xff0c;我重装了系统&#xff0c;没想到有意外收获&#xff08;中途还把新…

C语言每日一练-------Day(9)

本专栏为c语言练习专栏&#xff0c;适合刚刚学完c语言的初学者。本专栏每天会不定时更新&#xff0c;通过每天练习&#xff0c;进一步对c语言的重难点知识进行更深入的学习。 今日练习题关键字&#xff1a;字符个数统计 多数元素 投票法 &#x1f493;博主csdn个人主页&#xf…

ITMS介绍

ITMS&#xff08;Integrated Terminal Management System&#xff09;&#xff0c;终端综合管理系统。 主要用于家庭网关的设备注册&#xff0c;初始化自动配置&#xff0c;软件版本升级&#xff0c;远程故障诊断修复和设备监控等。它通过北向连接服开系统用于接收业务工单&am…

CorelDRAW快捷键大全

CorelDRAW是一款非常优秀且专业的平面设计软件&#xff0c;为用户多种强大的平面设计所需要用到的功能&#xff0c;帮助用户能够更好的进行设计&#xff0c;快速的达到自己想要的标准。下面小编就给大家分享一下CorelDRAW快捷键大全&#xff0c;有需要的小伙伴快来看一看吧。 …

Vue2023 面试归纳及复习

1. Vue 3中的Composition API&#xff08;Hooks&#xff09;是什么&#xff1f;它与Options API有何不同&#xff1f; 答&#xff1a;Composition API是Vue 3中引入的一种新的API风格&#xff0c; 用于组织和重用组件逻辑。它与Options API相比&#xff0c; 提供了更灵活和可…

SQL sever中库管理

目录 一、创建数据库 1.1库界面方式 1.2SQL命令方式 二、修改数据库 2.1库界面方式 2.2SQL命令方式 三、删除数据库 3.1库界面方式 3.2SQL命令方式 四、附加和分离数据库 4.1附加和分离数据库概述 4.2作用 4.3附加和分离数据库方法 4.4示例 一、创建数据库 1.1库…

Spring——Spring读取文件

文章目录 1.通过 value 读取比较简单的配置信息2.通过ConfigurationProperties读取并与 bean 绑定3.通过ConfigurationProperties读取并校验4. PropertySource 读取指定 properties 文件5.题外话:Spring加载配置文件的优先级 很多时候我们需要将一些常用的配置信息比如阿里云os…

protobuf生成golang和grpc代码踩坑记

错误提示&#xff1a;seems to be defined in "*.proto", which is not imported by "*proto". To use it here, please add the necessary import. 这个地方主要是因为包名的问题&#xff0c;假设user.proto文件被product.proto import了&#xff0c;则u…

《Python趣味工具》——文字RPG游戏的开发(附人生选择模拟器的详细讲解及其他多种RPG游戏的源码)

今天我们来学习如何制作一个文字RPG游戏 。 内容主要分为3个部分&#xff1a; part1. 文字游戏&#xff08;MUD&#xff09;的趣味历史 part2. 文字游戏的设计方法 part3. 文字游戏功能实现 文章目录 一、文字游戏&#xff08;MUD&#xff09;的趣味历史:1. 什么是MUD游戏:2. …

未找到System.Runtime.InteropServices.Marshal.GetTypeFromCLSID(System.Guid) 方法错误

记录此问题实际上是由于.netFrame框架配置太高引起的&#xff0c;一般常见于二次开发中&#xff0c;因为二次开发一般都是引用的com组件&#xff0c;在引用过程中后台代码调用了 Method not found: System.Type System.Runtime.InteropServices.Marshal.GetTypeFromCLSID(Syste…

研发规范第十三讲:阿里 - 如何进行项目稳定性建设

研发规范第十三讲&#xff1a;阿里 - 如何进行项目稳定性建设 本文是研发规范第13讲&#xff0c;阿里巴巴高级技术专家云狄将结合自己多年的经验&#xff0c;从开发规范、开发流程、技术规划与管理三个角度出发&#xff0c;分享对技术TL这一角色的理解与思考&#xff0c;欢迎一…