摘要:
告警分析分类: 规则类告警分析 情报类告警分析 日志hunting分析 报告编写 1.规则类告警分析: mimikatz攻击 检测到后需要分析执行命令,是否存在以上特定参数,若有则属实。 powershell无文件攻击 Powershell.exe可以从网络下载脚本内容并在内存中执行。 本地磁盘不会 阅读全文
posted @ 2020-07-05 16:37
强霸卓奇霸
阅读(1964)
评论(0)
推荐(0)
摘要:
EDR架构及部署: 硬件:终端大数据分析平台 软件:天擎客户端、天擎控制台 授权:威胁情报 EDR数据采集及处理流程: 行为影响:终端进程、文件操作、注册表修改、进程注入、账户变更、文件解压 边界传输:IM传输、浏览器传输、邮件附件、下载工具、U盘传输 网络请求:IP访问、DNS访问 EDR终端处置 阅读全文
posted @ 2020-07-05 14:18
强霸卓奇霸
阅读(1918)
评论(0)
推荐(0)
浙公网安备 33010602011771号