ToBeWritten之ATTCK 测评方案

news2024/11/26 23:21:12

也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大

少走了弯路,也就错过了风景,无论如何,感谢经历


转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球

感谢大家一直以来对我CSDN博客的关注和支持,但是我决定不再在这里发布新文章了。为了给大家提供更好的服务和更深入的交流,我开设了一个知识星球,内部将会提供更深入、更实用的技术文章,这些文章将更有价值,并且能够帮助你更好地解决实际问题。期待你加入我的知识星球,让我们一起成长和进步


汽车威胁狩猎专栏长期更新,本篇最新内容请前往:

  • [车联网安全自学篇] 汽车威胁狩猎之关于威胁狩猎该如何入门?你必须知道的那些事「7万字详解」

本文内容请忽略… …

0x01 威胁狩猎技巧 1:了解你的环境中什么是正常情况,那么你将能够更容易地发现异常情况

太多的企业试图在不了解他们的环境的情况下,跳入威胁狩猎的深渊(这是一个追逐松鼠和兔子,而且收效甚微的方法)。 威胁狩猎最终是在一个环境中寻找未知因素的做法,因此,了解什么是 “正常业务” 与 “可疑”、甚至 “恶意” 相比是至关重要的

在这里插入图片描述

为了理解环境,请确保你能获得尽可能多的信息,包括网络图、以前的事件报告,以及能得到的任何其他文件,并确保你拥有网络和终端层面的日志,以支持你的狩猎

0x02 威胁狩猎技巧 2:当建立狩猎活动时,根据你的假设,从一般的情况开始,再到具体的情况。通过这样做,可以创建上下文,并了解你在环境中寻找的是什么

当建立狩猎活动时,根据你的假设,从一般的情况开始,再到具体的情况。通过这样做,可以创建上下文,并了解你在环境中寻找的是什么

当威胁猎手第一次在结构化的威胁狩猎中崭露头角时,他们中的许多人都在努力建立他们的第一个假设。许多人发现这个过程,具有挑战性的原因往往是他们试图有点过于具体了。与其直接跳到细节上,不如先尝试在你的假设中更多地体现出一般的情况。通过这样做,你将更好地塑造你的狩猎,并在此过程中增加额外的上下文信息

0x03 威胁狩猎技巧 3:有时,最好狩猎你了解和知道的事物然后进行可视化,而不是狩猎你专业知识之外的事物,并尝试进行可视化到你知道的事物上

有时,在你了解和知道的事情上狩猎,然后再进行可视化,与在你的专业知识之外的事情上狩猎,并试图可视化到你知道的事情上,效果更好。

新的猎手遇到的最常见的挑战之一是,很容易很快摆脱困境。并不是每个信息安全专业人员,都是所有领域的专家,在威胁狩猎方面也是如此

无论你,是刚开始,还是已经狩猎了一些时间,同样的建议是正确的:狩猎你理解的东西,然后通过可视化来挖掘这些数据。这可以确保你理解你正在查看的东西,并让你对数据进行理解,以及理解你是如何到达那里的

如果,试图在你不了解的数据上狩猎,你更有可能倾向于你了解的数据,并对其进行可视化,这可能或不可能真正导致有意义和有价值的狩猎

0x04 威胁狩猎技巧 4:并非所有假设都会成功,有时可能会失败。但是不要气馁,回去再测试一下

与威胁保护和威胁检测等事情不同,威胁狩猎远不是一件肯定的事情。事实上,威胁狩猎的本质意味着你正在寻找未知的事物。正因为如此,所以并不是你狩猎的每一个假设都会成功。事实上,大多数猎手都知道,虽然他们可能会花几个小时,去挖掘他们发现的兔子洞,但这个洞更有可能导致一个使用 PowerShell 的高级用户来节省一些时间,而不是一个想要加密你的域控制器的高级攻击者

不要让这些时刻,让你灰心丧气!记录你的发现,不要让它成为你的负担。记录你的发现,不要气馁,并继续狩猎。从长远来看,它将会得到回报

0x05 威胁狩猎技巧 5:了解你的工具集及其数据功能,与执行你的狩猎同样重要。如果你没有验证工具中是否存在预期的数据,则误报就会潜伏在每个角落

虽然,在 IT 领域几乎每个人都明白,每个工具和技术都是不同的,并且都有特定的局限性。但有时安全人员(尤其是威胁猎手),可能会认为这是理所当然的

关于 “了解你的技术”,最重要的概念之一是了解它的能力,以及它的局限性是什么。如果你在不了解的情况下贸然前进,很可能会产生误报的结果,给安全团队一种错误的安全感

在建立你的狩猎系统之前,必须测试和验证你的搜索查询,以确保它们返回你所期望的结果,这是至关重要的

参考链接

https://blog.csdn.net/Ananas_Orangey/article/details/129491146


你以为你有很多路可以选择,其实你只有一条路可以走


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/976789.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

FLUX查询InfluxDB -- InfluxDB笔记三

1. 入门 from(bucket: "example_query") // 没有筛选条件直接查询会报错|> range(start: -1h) // |>是管道符,后跟筛选条件 2. 序列、表和表流 序列是InfluxDB的概念,一个序列是由measurement、标签集、一个字段名称 表流是FLUX为了…

基于FPGA的信号发生器(三角波、方波、正弦波)

目录 DDS实现原理 DDS整体设计框图​ Quartus II 仿真​ modelsim仿真 顶层代码 DDS实现原理 DDS(Direct Digital Frequency Synthesizer)直接数字频率合成器,也可叫DDFS。 DDS是从相位的概念直接合成所需波形的一种频率合成技术。 不仅可以产生不同频率的正弦波,而且可…

算法 数据结构 递归冒泡算法 java冒泡算法 优化递归冒泡 数据结构(九)

使用递归算法实现冒泡: package com.nami.algorithm.study.day06;import java.util.Arrays;/*** beyond u self and trust u self.** Author: lbc* Date: 2023-09-05 15:36* email: 594599620qq.com* Description: keep coding*/ public class BubbleSort2 {// p…

windows server 2019 使用powershell静默安装netframework3.5

参考链接 使用 Windows PowerShell 启用 .NET Framework 3.5 | Microsoft Learn 对于未连接到 Internet 的 Windows Server 2012 或更高版本的安装,可使用 Windows PowerShell 来添加 .NET Framework 3.5,提供对安装介质上的 \sources\sxs 文件夹的访问…

NIFI实现数据库数据增量同步

说明 nifi版本:1.23.2(docker镜像) 需求背景 将数据库中的数据同步到另一个数据库中,要求对于新增的数据和历史有修改的数据进行增量同步 模拟数据 建表语句 源数据库和目标数据库结构要保持一致,这样可以避免后…

什么是数字体验平台

数字体验平台是一种基于数字技术的工具或系统,旨在提供用户与产品、服务或品牌进行交互和体验的场所。它通过结合多种数字化技术,如人工智能、大数据、云计算、物联网等,为用户提供个性化、多维度的体验。 数字体验平台可以为企业或组织搭建一…

Flutter实现ControlExecutor进行多个异步任务执行时监听状态并可指定最后执行的异步并在指定的异步执行完毕后结束executor并回调。

1.场景 当有多个接口请求时,且接口调用不是同时进行时,而且接口调用有可能时链式的,中间也有可能加入别的逻辑,但是需要在第一个接口调用时打开等待框,在最后一个接口调用完成时关闭等待框类似需求时,可以…

Spark 6:Spark SQL DataFrame

SparkSQL 是Spark的一个模块, 用于处理海量结构化数据。 SparkSQL是用于处理大规模结构化数据的计算引擎 SparkSQL在企业中广泛使用,并性能极好 SparkSQL:使用简单、API统一、兼容HIVE、支持标准化JDBC和ODBC连接 SparkSQL 2014年正式发布,当…

java调用js文件的两种方法(支持V8引擎)

前言 对java逆向感兴趣的盆友可以关注我以前的文章,有图片验证码识别、AES、SHA256等各种加密的java实现,不定时更新常用算法和加密,欢迎一起交流讨论! 在日常逆向中,一些前端的加密代码用java复现出来比较难&#xff…

使用工作流快速开发平台,做好企业数据资源管理!

面对越来越繁忙的业务,很多客户朋友不知道用什么样的平台才能快速处理好企业内部数据,做出更有利于企业发展的经营决策。其实,低代码技术平台、工作流快速开发平台是可以让企业减少重复工作,提高工作效率,实现流程化办…

中断处理原理:接口及按键驱动

一、什么是中断 一种硬件上的通知机制,用来通知CPU发生了某种需要立即处理的事件 分为: 内部中断 CPU执行程序的过程中,发生的一些硬件出错、运算出错事件(如分母为0、溢出等等),不可屏蔽外部中断 外设发…

自动计算比例 计算属性 computed @input=“rate“

<el-col :span"12"><el-form-item label"当年累计实收租金:" prop"cumulativeRent"><el-inputv-model"createForm.cumulativeRent"input"rate"clearable:disabled"value 2"><template slot…

如何将MySQL中指定的表结构同步到人大金仓数据库

场景 刚开始做数据库适配的时候,这是一个棘手的问题,因为MySQL的库里,表结构,字段都是最新的,但是金仓的库,全是旧版本的表结构。需要把我们模块的表结构,同步到金仓中。 虽然金仓有数据库同步工具,但是直接把所有表都给同步过来,难免会影响到其他模块。 然后…

HCIP学习-IPv6

目录 前置学习内容 IPv6解决的一些IPv4的缺陷 无限的地址 层次化的地址结构 即插即用 简化报文头部 IPv4和IPv6报头比较 端到端的网络罗完整性 安全性增强 挣钱QoS特性 IPv6地址介绍 格式 首选格式 压缩格式 内嵌IPv4地址格式的IPv6地址格式 IPv6的网络前缀和接…

TRICONEX 8312 数字输入模块

Triconex 8312 数字输入模块是一种用于工业自动化和控制系统的模块&#xff0c;通常用于监测和采集数字信号。以下是Triconex 8312 数字输入模块的一些常见产品特点&#xff1a; 多通道输入&#xff1a;8312 模块通常具有多个数字输入通道&#xff0c;允许同时监测多个数字信号…

【Linux】多线程2——线程互斥与同步/多线程应用

文章目录 1. 线程互斥1.1 问题引入1.2 线程互斥的相关概念1.3 互斥量mutex1.4 互斥量实现原理1.5 死锁 2. 线程安全和可重入函数3. 线程同步3.1 同步概念3.2 条件变量 4. 生产消费模型4.1 基于阻塞队列的cp模型4.2 基于环形队列的cp模型POSIX信号量 5. 线程池5.1 互斥量RAII版本…

总结/笔记-vue中的插槽(默认插槽、具名插槽、作用域插槽)

问题&#xff1a; 遇到了一个插槽&#xff0c;写法为 #default ”{ row }“ 插槽知识点&#xff1a; 定义 插槽&#xff0c;用于 在组件中 引用外部组件或自定义组件的内容。 即 子组件中提供给父组件使用的一个占位符&#xff0c;父组件可以在这个占位符中填充任何模板代…

【TI毫米波雷达笔记】ADCBuf外设初始化配置及驱动(以IWR6843AOP为例)

【TI毫米波雷达笔记】ADCBuf外设初始化配置及驱动&#xff08;以IWR6843AOP为例&#xff09; ADCBuf是为mmwave服务的 在配置之前需要配置好mmwave #include < ti/drivers/ADCBuf.h>对应mmwave studio&#xff1a; ADCBuf模块上电 调用&#xff1a; ADCBuf_init();A…

bash: cmake: command not found...+++++++lsb_release: command not found

一 .bash: cmake: command not found… centos中安装那个cmake。 1、问题 [rootPC3 home]# cmake bash: cmake: command not found... Similar command is: make当前系统&#xff1a; [rootPC3 home]# lsb_release -a LSB Version: :core-4.1-amd64:core-4.1-noarch:cxx…

dex2oat编译模式、触发场景、命令强制执行

dex2oat简单理解就是把delvik虚拟机的可执行文件dex转化成AndroidRuntime虚拟机的可执行文件oat。 Android T版本由PKMS下发命令、native层进程installd负责具体执行dex2oat操作。installd回去调用dex2oat64完成编译工作&#xff0c;可以将dex2oat64理解成一个程序。源码路径&…