攻防演练中一些心得总结(蓝队视角)
原文中文,约900字,阅读约需3分钟。
📝
内容提要
在攻防演练前需调优监测设备的告警规则。忽略僵尸、木马、蠕虫、C2远控类告警,视情况处理挖矿病毒类告警。重点关注web层面的攻击,如SQL注入、命令执行、文件上传等。特别关注高危CVE漏洞+攻击成功。单独设规则处理Webshell类告警,关注流量上下文、命令执行和响应体、持续访问webshell路径的频率。排查内存马,关注error.log和脚本扫描。研判漏洞是否存在、是否攻击成功,需考虑流量上下文、手工验证和攻击频率。应急溯源中,沟通和时效性至关重要,尽快出报告。
🎯
关键要点
-
在攻防演练前需调优监测设备的告警规则。
-
可以忽略僵尸、木马、蠕虫、C2远控类告警。
-
挖矿病毒类告警视情况处理,时间充裕时可处置。
-
重点关注web层面的攻击,如SQL注入、命令执行、文件上传等。
-
特别关注高危CVE漏洞和攻击成功的情况。
-
Webshell类告警需单独设规则,关注流量上下文和访问频率。
-
内存马需上机排查,关注error.log和脚本扫描。
-
研判漏洞是否存在和攻击成功需结合流量上下文、手工验证和攻击频率。
-
应急溯源中沟通和时效性至关重要,需尽快出报告。
🏷️
