攻防演练中一些心得总结(蓝队视角)
原文中文,约900字,阅读约需3分钟。发表于: 。攻防中大家分工明确,应急溯源分工又不是很明确,可能多个团队在做同一件事,所有沟通非常重要。
在攻防演练前需调优监测设备的告警规则。忽略僵尸、木马、蠕虫、C2远控类告警,视情况处理挖矿病毒类告警。重点关注web层面的攻击,如SQL注入、命令执行、文件上传等。特别关注高危CVE漏洞+攻击成功。单独设规则处理Webshell类告警,关注流量上下文、命令执行和响应体、持续访问webshell路径的频率。排查内存马,关注error.log和脚本扫描。研判漏洞是否存在、是否攻击成功,需考虑流量上下文、手工验证和攻击频率。应急溯源中,沟通和时效性至关重要,尽快出报告。