上一页 1 ··· 68 69 70 71 72 73 74 75 76 ··· 273 下一页
2021年7月27日
sentinel使用内置规则检测威胁——自定义规则是使用的KQL
摘要: sentinel使用内置规则检测威胁 05/11/2021 https://docs.microsoft.com/en-us/azure/sentinel/tutorial-detect-threats-built-in 在你之后连接您的数据源到Azure Sentinel,您将希望在发生的事情发生 阅读全文
posted @ 2021-07-27 20:42 bonelee 阅读(271) 评论(0) 推荐(0)
在Azure Sentinel中使用威胁情报——可以自己订阅,自己创建一条indicator来使用基于情报的检测
摘要: 在Azure Sentinel中使用威胁indicator 07/13/2021 https://docs.microsoft.com/en-us/azure/sentinel/work-with-threat-indicators 您可以通过以下活动将威胁情报(TI)集成到Azure Sentin 阅读全文
posted @ 2021-07-27 20:32 bonelee 阅读(223) 评论(0) 推荐(0)
在Azure Sentinel中使用带自动化规则的剧本playbook——看来调查取证和响应是分开的,调查取证使用图谱便于人工来做
摘要: 可以通过playbook修改事件等级。 教程:在Azure Sentinel中使用带自动化规则的剧本 06/17/2021 https://docs.microsoft.com/en-us/azure/sentinel/tutorial-respond-threats-playbook 本教程向您展 阅读全文
posted @ 2021-07-27 20:17 bonelee 阅读(281) 评论(0) 推荐(0)
使用Azure Sentinel调查事件——用到了知识图谱能力
摘要: 教程:使用Azure Sentinel调查事件 04/08/2021 https://docs.microsoft.com/en-us/azure/sentinel/tutorial-investigate-cases 本教程可帮助您调查Azure Sentinel的事件。将数据源连接到Azure 阅读全文
posted @ 2021-07-27 20:04 bonelee 阅读(208) 评论(0) 推荐(0)
微软sentinel中fuison 关联分析检测多步攻击——场景非常细致,看来微软这块做得还是扎实的
摘要: From:https://docs.microsoft.com/en-us/azure/sentinel/fusion Azure Sentinel中的高级多级攻击检测05/05/2021一些融合探测(见下文所述)目前正在预览中。通过使用基于机器学习的融合技术,Azure Sentinel可以通过识 阅读全文
posted @ 2021-07-27 19:45 bonelee 阅读(384) 评论(0) 推荐(0)
2021年7月23日
XDR调研
摘要: Vendor Product Data source Output of multi-step attacks Techniques Cisco - Cisco Secure Endpoint (former AMP for Endpoints) - Cisco Secure Network Ana 阅读全文
posted @ 2021-07-23 10:59 bonelee 阅读(426) 评论(0) 推荐(0)
2021年7月20日
linux Capabiltiy 示例——以前只有root和普通用户两种权限,root的权限太大了,现在有了cap,可以细分让某持续有单个权限而非所有特权,见下示例
摘要: Capabiltiy 示例 Capability的设定和清除 下面的示例程序给当前的进程设定Capability,最后我们清除掉所设置的Capability,源代码如下: #include <stdio.h> #include <stdlib.h> #include <string.h> #incl 阅读全文
posted @ 2021-07-20 20:05 bonelee 阅读(549) 评论(0) 推荐(0)
MineMeld ——一个IoC情报整合和分享工具,里面有一些专门做情报生产的组织,你只要订阅就可以了
摘要: minemeld在微软sentinel上的使用(一个订阅情报示例): What is MineMeld? An extensible Threat Intelligence processing framework brought to you by Palo Alto Networks. What 阅读全文
posted @ 2021-07-20 17:49 bonelee 阅读(433) 评论(0) 推荐(0)
威胁情报的“结构化”“可机读”—TAXII标准,感觉这东西好水啊,没有STIX好用
摘要: 威胁情报的“结构化”“可机读”—TAXII标准 TAXII(Trusted Automated eXchangeof Indicator Information)主要定义了网络威胁情报共享的协议、服务和信息格式等。是对STIX在传输层面的补充。 TAXII(Trusted Automated eXc 阅读全文
posted @ 2021-07-20 17:21 bonelee 阅读(593) 评论(0) 推荐(0)
2021年7月19日
Azure 解决方案:ATP保护你的企业信息安全,无懈可击 ——这个下面的安全架构图看,微软做得很全,除了流量侧检测能力略有欠缺。
摘要: 区别:ATP和Sentinel,ATP是收集日志进行检测。Sentinel是SIEM和SOAR平台。 如下是Azure的安全体系结构: 该体系结构包括以下组件: Azure 安全中心。 这是 Microsoft 提供给所有 Azure 订户的高级统一安全管理平台。 安全中心划分为云安全状况管理 (C 阅读全文
posted @ 2021-07-19 19:46 bonelee 阅读(747) 评论(0) 推荐(0)
上一页 1 ··· 68 69 70 71 72 73 74 75 76 ··· 273 下一页