攻防演练中一些心得总结(蓝队视角)
💡
原文中文,约900字,阅读约需3分钟。
📝
内容提要
在攻防演练前需调优监测设备的告警规则。忽略僵尸、木马、蠕虫、C2远控类告警,视情况处理挖矿病毒类告警。重点关注web层面的攻击,如SQL注入、命令执行、文件上传等。特别关注高危CVE漏洞+攻击成功。单独设规则处理Webshell类告警,关注流量上下文、命令执行和响应体、持续访问webshell路径的频率。排查内存马,关注error.log和脚本扫描。研判漏洞是否存在、是否攻击成功,需考虑流量上下文、手工验证和攻击频率。应急溯源中,沟通和时效性至关重要,尽快出报告。
🎯
关键要点
- 在攻防演练前需调优监测设备的告警规则。
- 可以忽略僵尸、木马、蠕虫、C2远控类告警。
- 挖矿病毒类告警视情况处理,时间充裕时可处置。
- 重点关注web层面的攻击,如SQL注入、命令执行、文件上传等。
- 特别关注高危CVE漏洞和攻击成功的情况。
- Webshell类告警需单独设规则,关注流量上下文和访问频率。
- 内存马需上机排查,关注error.log和脚本扫描。
- 研判漏洞是否存在和攻击成功需结合流量上下文、手工验证和攻击频率。
- 应急溯源中沟通和时效性至关重要,需尽快出报告。
➡️
