谷歌网络安全-VI-笔记-全-
谷歌网络安全 VI 笔记(全)
001:课程介绍 🚨
在本节课中,我们将要学习网络安全事件检测与响应的核心概念、工具及流程。课程旨在帮助初学者理解如何应对日益增长的安全威胁,并掌握从监控到分析再到响应的完整技能。
安全攻击正在增加,新的漏洞每周都会被利用和发现。
无论一个组织对安全攻击的准备多么充分,在某些时候,总会出现问题。无论是数据泄露、勒索软件,还是员工犯下的简单错误,安全事件总会发生。而有效响应这些安全事件,正是像您这样的安全专业人士的职责。
大家好,欢迎来到本课程。我是戴夫,是谷歌云的首席安全战略师。我拥有20年作为安全从业者和领导者的经验。在过去的八年里,我曾在像Forinette、Splunk和谷歌这样的行业领先安全供应商工作,并在此过程中专攻安全分析领域。
我热衷于帮助分析师们掌握在其职业生涯中取得成功所必需的技能。非常高兴您能来到这里。到目前为止,您已经做得非常出色,学习了许多关于安全概念、最佳实践和安全攻击类型的知识。
上一节我们介绍了课程背景和讲师,本节中我们来看看本课程的核心学习目标。
在本课程中,我们将重点关注事件的检测、分析与响应。您将有机会使用诸如TCP dump、Wireshark、Surracottta、Splunk和Chronicle等工具来应用所学知识。到本课程结束时,您将对事件响应有深入的理解。
以下是本课程将涵盖的主要学习模块:
- 事件响应生命周期与团队协作:首先,您将学习事件响应生命周期以及事件响应团队如何协同工作。
- 检测与响应工具:您还将学习检测和响应中使用的工具类型,包括文档工具。您将获得自己的事件处理者日志,用于在调查期间使用。
- 网络流量分析:接下来,您将应用您的网络和Linux知识来监控和分析网络流量,使用像Wireshark和TCP dump这样的数据包嗅探器来捕获和分析数据包,以寻找潜在的安全事件迹象。
- 事件处理流程:然后,您将熟悉事件检测和响应期间常用的流程和程序。您将学习如何使用调查工具来分析、验证事件并生成文档。
- 日志与警报解读:最后,您将学习如何解读日志和警报。您将了解检测工具如何生成日志,以及这些日志如何在安全信息和事件管理工具中被分析。
本节课中我们一起学习了《检测与响应》课程的总体介绍,明确了安全事件响应的必要性、课程讲师背景以及我们将要掌握的核心技能模块。接下来,我们将深入第一个模块,探索事件响应的生命周期。
002:导师的价值与寻找方法 👨🏫
在本节课中,我们将学习网络安全专家Dave分享的职业发展经验,重点探讨导师在个人成长中的重要作用以及如何有效地寻找和建立导师关系。
我的名字是戴夫,我是谷歌云的首席安全战略师。我的工作是直接与安全从业者合作,帮助他们保护其所在组织。
我热爱这份工作的多样性。某一天我可能在为客户排查技术问题,第二天我可能在编写代码来解决某个特定问题。每一天都有新事物,我从不感到厌倦。
我是在美国中西部长大的孩子。我上大学时学习工程学。但我意识到自己并不真正喜欢工程学,而我爱上了计算机科学,我甚至不知道这是一个可选的专业。
从入门到专业:职业路径演变
上一节我们了解了Dave的背景,本节中我们来看看他具体的职业发展轨迹。他的经历展示了网络安全职业道路的多样性。
我在大学早期曾担任服务台人员。后来我找到了一份系统管理员的工作。我发现自己在一家支付行业的初创公司工作。我的工作从一名普通的IT人员转变为网络安全人员。
我在那个职位上工作了七年,从一人安全团队到后期管理一个中等规模的安全组织,我什么都做过。之后我转到了桌子的另一边,开始为安全供应商工作。
这让我有机会亲眼目睹数百家其他组织如何运行他们的安全项目,这确实令人大开眼界。
网络安全的核心魅力
网络安全的有趣之处在于,你可以将整个生活经验带入网络安全领域。你所做的是试图保护一个组织,不一定是因为意外,而是保护组织免受另一端的、试图伤害你组织的人的侵害。
一个日益清晰的事实是,来自不同背景和拥有不同经验的人通常能为我们应对威胁的方式带来巨大改进。
如何寻找与建立导师关系
上一节我们探讨了多元背景的价值,本节中我们来看看如何主动寻求外部帮助以加速成长。以下是Dave关于寻找导师的建议。
我强烈建议参与安全组织。这是一个结识其他能在你职业道路上提供帮助的人的地方。
我认为人们会惊讶地发现,在我们的行业中有多少帮助是可用的。有许多更资深、更有成就的人愿意成为导师。
我认为,作为寻找导师的人,你能做的最好的事情就是积极主动并制定计划。所以,要事先想好几件你想努力提升的事情。
然后联系某个在网络安全特定领域工作的人,并向他们寻求帮助。我想你会惊讶于人们是多么乐于助人。
本节课中我们一起学习了网络安全专家Dave的职业发展见解。我们了解到网络安全领域需要多样化的技能和生活经验,其核心是保护组织免受恶意人为威胁。更重要的是,我们掌握了主动寻找行业导师的方法:明确目标、主动联系、寻求指导。积极参与行业社区并建立导师关系,是加速职业成长的关键途径。
谷歌网络安全专业证书第六课:《拉响警报:检测与响应》:1:欢迎来到第一周 🚨
在本节课中,我们将开始学习网络安全事件检测与响应的核心知识。你将了解事件响应生命周期、相关团队角色以及安全专业人员使用的关键工具。
作为首席安全策略师,我亲眼见证了本课程将教授的事件响应操作在组织中的实施过程。
我发现检测和响应事件最令人兴奋的一点,是运用数据来理解攻击者在我方环境中行为的挑战。没有两次调查是完全相同的,但随着分析技能的磨练,你可以学会识别其中的行为模式。
上一节我们回顾了资产安全、威胁与漏洞的基础知识。我们探讨了将NIST网络安全框架作为风险管理的方法论,学习了通过资产分类与保护来降低组织风险,并研究了用于保护数据的安全与隐私控制措施。我们还使用了MITRE ATT&CK和CVE等工具来调查常见漏洞,并运用威胁建模等技术来培养攻击者思维。
本节中,我们将重新审视NIST网络安全框架,重点关注事件响应生命周期。你将获得自己的事件处理者日志,并在后续课程中持续使用它。
我们还将介绍事件响应团队,包括不同的团队角色及其如何组织起来响应事件。
最后,你将了解作为从事事件响应的安全专业人员,会使用到的各类文档、检测与管理工具。
以下是本课程将涉及的核心概念与工具概述:
- 事件响应生命周期:一个结构化的流程,用于管理安全事件,通常包含准备、检测与分析、遏制与根除、恢复以及事后总结等阶段。
- 事件处理者日志:用于记录调查步骤、发现和行动的关键文档。
- 团队角色:例如事件响应经理、安全分析师、取证专家等,各司其职。
- 文档与工具:包括事件报告、取证工具(如
Autopsy或FTK)、安全信息与事件管理(SIEM)系统等。
后续课程中,你将有机会亲自使用这些工具。
你准备好开始检测与响应的学习之旅了吗?让我们开始吧。
本节课中,我们一起学习了事件响应的基本框架和准备工作。我们明确了事件响应生命周期的重要性,认识了事件处理者日志的作用,并概述了事件响应团队的角色与常用工具。这些知识为后续深入实践打下了坚实基础。
004:事件响应生命周期介绍 🚨
在本节课中,我们将要学习事件响应生命周期的基本概念,理解事件与安全事件的区别,并了解如何通过框架和工具来系统化地管理安全事件。
事件响应生命周期框架为支持事件响应操作提供了一个结构化的方法。框架帮助组织为其事件响应流程开发标准化的方法,从而以有效且一致的方式管理事件。组织可以根据自身需求采用和修改多种不同类型的框架。在本课程中,我们将重点介绍NIST网络安全框架(CSF)。随后,我们将扩展CSF的内容,并讨论NIST事件响应生命周期的各个阶段。
回顾一下,NIST CSF的五个核心功能是:识别、保护、检测、响应和恢复。本课程将探讨该框架的最后三个步骤:检测、响应和恢复。这三个步骤是事件响应过程中的关键阶段。作为一名分析师,你将负责检测和响应事件,并实施恢复行动。
NIST事件响应生命周期是另一个专门用于事件响应的NIST框架,它包含更多子步骤。它始于准备阶段,接着是检测与分析,然后是遏制、根除和恢复,最后是事后活动。
需要注意的是,事件生命周期不是一个线性的过程,而是一个循环。这意味着随着新发现的产生,各个步骤可能会重叠。这个生命周期为我们如何有效响应事件提供了一个蓝图。
但在深入探讨事件检测与响应之前,让我们花些时间来理解什么是事件。根据NIST的定义,事件是指实际上或即将在未经合法授权的情况下,危及信息或信息系统的机密性、完整性或可用性的发生,或构成对法律、安全策略、安全程序或可接受使用策略的违反或即将发生的威胁。
这个概念包含了很多信息,我们来分解一下。理解所有安全事件都是事件,但并非所有事件都是安全事件,这一点非常重要。
那么,什么是事件呢?
一个事件是网络、系统或设备上可观察到的发生。以下是一个事件的例子:用户尝试登录其电子邮件账户,但因忘记密码而无法登录。随后,用户请求重置密码并成功更改了密码。这是一个可观察到的事件。为什么?因为系统和应用程序会记录密码重置请求,日志提供了某事发生的证据。我们知道有人成功请求了密码重置,并且他们没有违反安全策略来访问账户。
现在,想象一下,如果不是账户的合法所有者,而是一个恶意行为者试图访问该账户,并成功发起了密码更改请求,修改了账户密码。这将被视为一个事件,同时也是一个安全事件。它是一个事件,因为它是可观察到的发生。它也是一个安全事件,因为恶意行为者违反了安全策略,非法访问了不属于他们的账户。
请记住,所有安全事件都是事件,但并非所有事件都是安全事件。就像侦探处理案件时需要仔细处理和记录证据与发现一样,安全分析师在调查安全事件时也需要这样做。事件调查会揭示关于事件“五个W”的关键信息:谁触发了事件、发生了什么、事件何时发生、事件在何处发生,以及事件为何发生。
跟踪这些信息至关重要,不仅在事件调查期间,而且在调查结束撰写最终报告时也是如此。作为一名分析师,你需要一种方法来记录和引用这些信息,以便在需要时轻松访问。一个很好的方法是使用事件处理者日志,这是在事件响应中使用的一种文档形式。
在本课程中,你将使用自己的事件处理者日志来记录任何事件细节。我们将在接下来的课程中进一步讨论文档记录。
本节课中,我们一起学习了事件响应生命周期的概念,区分了普通事件与安全事件,并介绍了使用NIST框架和事件处理者日志来系统化管理和记录安全事件的方法。理解这些基础概念是成为一名有效安全分析师的第一步。
005:事件响应团队 🛡️
在本节中,我们将探讨事件响应团队如何管理安全事件。
概述
无论是体育团队、工作团队还是学校团队,团队的成功都依赖于成员们利用各自不同的优势,朝着共同的目标努力。事件响应团队也不例外。成功应对安全事件并非孤立进行,它需要一个由安全与非安全专业人员组成的团队,各司其职,协同工作。
什么是CSIRT?
计算机安全事件响应团队(CSIRT)是一组专门从事事件管理与响应的安全专业人员。其目标是有效且高效地管理事件,为响应和恢复提供服务和资源,并防止未来事件的发生。
跨部门协作
安全是共同的责任。因此,CSIRT必须与其他部门进行跨职能协作,共享相关信息。例如,如果一个事件导致了敏感数据(如财务文件或个人身份信息)的泄露,那么就必须咨询法务团队。某些法规遵从性措施可能要求组织在特定时间范围内公开披露安全事件。这意味着CSIRT必须与组织的公共关系团队合作,协调公开披露工作。
CSIRT如何运作?
以下是CSIRT内部的关键角色及其职责:
- 安全分析师:负责调查安全警报,以确定是否发生了事件。如果检测到事件,分析师将确定事件的关键性评级。一些事件可以由安全分析师轻松补救,无需升级。
- 技术负责人:如果事件高度关键,则升级至技术负责人。技术负责人通过指导安全事件完成其生命周期来提供技术领导。
- 事件协调员:在此期间,事件协调员跟踪和管理CSIRT及其他参与响应工作的团队的活动。他们的职责是确保遵循事件响应流程,并定期向团队更新事件状态。
团队名称与结构差异
并非所有CSIRT都相同。根据组织情况,CSIRT也可能被称为事件处理团队(IHT) 或安全事件响应团队(SIRT)。
根据组织的结构,一些团队可能有更广泛或更专业化的侧重点。例如,有些团队可能专门负责危机管理,而另一些团队可能与安全运营中心(SOC)整合。
角色也可能有不同的名称。例如,技术负责人也可以被称为运营负责人。无论团队的名称或侧重点如何,它们都拥有共同的目标:事件管理与响应。
总结
本节我们一起学习了事件响应团队(CSIRT)的构成、跨部门协作的重要性以及团队内部的关键角色(安全分析师、技术负责人、事件协调员)。我们了解到,成功的事件响应依赖于一个定义清晰、协同工作的专业团队。
上一节我们介绍了事件响应团队,下一节我们将继续学习事件响应团队如何规划、组织和响应事件。
006:事件响应中的沟通艺术
概述
在本节课中,我们将跟随谷歌检测与响应团队的技术主管经理法蒂玛,学习在网络安全事件响应期间进行清晰有效沟通的重要性、具体方法以及团队协作的关键作用。
我的名字是法蒂玛,我是谷歌检测与响应团队的技术主管经理。如果网络上有黑客,我们的工作就是找到他们。
从事检测工作就像一位艺术家为演出做准备。我们花费大量时间开发各种特征签名来检测黑客。然后有一天,演出时刻到了。你会感受到同样的紧张感,并质疑自己是否已为演出做好准备。但你其实别无选择。黑客总会到来,你必须为他们做好准备。
我认为网络安全非常令人兴奋。你永远不知道下一个漏洞何时会被公开,也永远不知道下一次事件何时会发生。
2021年发生的Log4j漏洞就是一个重大事件的绝佳例子。整个公司团结起来,调查我们是否受到此漏洞的影响。做出这个判断是我团队的职责。我们每秒要处理数百万、数亿行的日志数据。在获取这些日志后,我们需要在其中进行搜寻和深度挖掘。
以下是处理此类事件的关键步骤:
- 创建不同的特征签名,与这些日志进行匹配,以寻找入侵迹象。
- 我们最终能够宣布:一切正常,我们未受影响,我们是安全的。
正是这些时刻,这些高光时刻,让一切努力都有了意义。
在事件响应场景中,团队合作是关键。你无法在没有一个非常稳固的团队的情况下运行事件响应。这个团队需要协作无间,并且彼此高度信任。
保持清晰有效沟通的方法就是进行大量沟通。在事件期间,这听起来可能有点违反直觉,但资深的工程师们会转变为运营负责人。他们的职责是确保其职能范围内的沟通不会中断。
因此,我们的角色从高度技术性转变为专注于沟通、汇总数据,并将数据呈现给需要了解的相关人员。
我强烈推荐网络安全作为一个职业领域。因为攻击者非常有创造力,他们不会让你感到无聊。所以我们寻找他们的方式也必须富有创造力。作为一个喜欢学习的人,知道总有一些新事物等待我去学习和精通,这令人兴奋,也让我保持动力。
总结
本节课中,我们一起学习了事件响应中沟通的核心价值。我们了解到,从日常的“排练”(开发检测签名)到“正式演出”(应对真实攻击),清晰的沟通和团队信任是成功响应的基石。资深成员在事件中需转变为沟通枢纽,确保信息流畅。网络安全领域充满挑战与学习机会,要求从业者保持创造力和持续学习的热情。
007:事件响应计划 🚨
在本节课中,我们将要学习事件响应团队如何利用事件响应计划来应对安全事件。我们将了解响应计划的核心构成、其重要性以及如何通过测试来不断完善它。
上一节我们介绍了事件响应团队及其职责,本节中我们来看看团队如何通过计划来指导具体的响应行动。
当安全事件发生时,事件响应团队必须准备好快速、高效且有效地进行响应。无论是数据泄露、DDoS攻击还是勒索软件,事件都可能对组织造成重大损害。正如之前提到的,法规可能要求组织在规定时间内报告事件。因此,组织制定一个正式的事件响应计划至关重要,这能确保在事件发生时有一个预先准备好的、一致的处理流程。
你可能还记得,安全计划包含三个基本要素:策略、标准和规程。事件响应计划就是一份文件,它概述了事件响应每个步骤中应遵循的规程。
响应计划,就像响应团队一样,并非千篇一律。组织会根据其独特的使命、规模、行业和结构等要求来定制计划。例如,较小的组织可能选择将事件响应计划包含在其整体安全计划中,而其他组织则可能选择将其作为独立文件。
尽管并非所有事件响应计划都相同,但它们通常包含一些共同的元素。
以下是事件响应计划通常包含的核心组成部分:
- 事件响应规程:这是关于如何响应事件的分步指导说明。
- 系统信息:这包括网络拓扑图、数据流图、日志记录和资产清单信息等。
- 其他文档:例如联系人列表、各种表单和报告模板。
计划并非完美无缺,总存在随着事件发生而调整和改进的空间。事件处理流程和规程必须定期审查和测试。这可以通过桌面推演或模拟演练等练习来完成。这些练习能确保所有团队成员都熟悉响应计划,同时也让组织能够发现流程中的任何缺失或不足,从而改进其事件响应计划。
此外,出于监管原因,组织可能被要求完成特定类型的演练。
接下来,我们将讨论事件响应中使用的不同类型工具。
本节课中我们一起学习了事件响应计划。我们了解到,一个有效的计划是快速、有序应对安全事件的基础,它包含规程、系统信息等关键要素,并且需要通过定期测试和演练来持续优化。
008:事件响应工具
在本节课中,我们将学习安全分析师在事件检测与响应过程中所使用的各类核心工具。你将了解到,就像工匠需要多种工具来完成工作一样,安全分析师也需要一个多样化的“工具箱”来有效监控、检测和分析安全事件。
安全分析师的核心角色 🛡️
作为一名安全分析师,你将在事件检测中扮演重要角色。你将身处前线,主动检测威胁。
为了完成这项工作,你不仅需要依赖目前已掌握的安全知识,还需要使用多种工具和技术来支持你的调查。
构建你的安全工具箱 🧰
一位优秀的木匠不会只用一把锤子来制作家具。他们会依赖工具箱里的各种工具来完成工作。他们需要使用卷尺测量尺寸,用锯子切割木材,用砂纸打磨表面。
同样,作为一名安全分析师,你也不会只用单一工具来监控、检测和分析事件。你将使用检测和管理工具来监控系统活动,以识别需要调查的事件。你将使用文档工具来收集和整理证据,并且还会使用不同的调查工具(例如数据包嗅探器)来分析这些事件。
工具的演进与持续学习 📈
新的安全技术不断涌现,威胁不断演变,攻击者也变得更加隐蔽以规避检测。
为了有效地检测威胁,你需要持续扩展你的安全工具箱。这也正是安全领域如此令人兴奋的原因——总有新的东西需要学习。
你的第一个工具:事件处理日志 📝
你可能还记得我们在上一节分享的“事件处理日志”。在本课程后续的学习中,你将把这份日志作为你自己的文档形式来使用。
请将此视为你添加到工具箱中的第一个安全工具。
本节课总结
本节课中,我们一起学习了安全分析师在事件响应中扮演的角色,并认识了构建一个多样化安全工具箱的重要性。我们了解到,从监控工具到文档工具,再到分析工具,每一种工具都有其特定用途。最后,我们引入了“事件处理日志”作为你实践中的第一个关键工具。掌握并熟练运用这些工具,是你成为有效安全分析师的第一步。
009:文档的价值 📄
在本节课中,我们将要学习文档在网络安全事件处理中的核心价值。我们将探讨不同类型的文档、有效文档的重要性,以及一些实用的文档工具。
文档的定义与类型
上一节我们介绍了事件处理者日志的用途。本节中,我们来看看文档的广义定义及其常见类型。
文档是为特定目的而记录的任何形式的内容。这包括音频、数字或手写说明,甚至视频。行业中没有统一的文档标准,因此许多组织会制定自己的文档实践。无论如何,文档旨在为特定主题提供指导和说明。
文档有多种类型,其中一些你可能在之前的课程中已经熟悉。以下是常见的文档类型:
- 预案手册:提供任何操作行动细节的手册。
- 事件处理者日志:用于记录事件“五要素”(何人、何事、何地、何时、为何)的日志。
- 政策:规定组织行为准则的正式文件。
- 计划:为实现特定目标而制定的详细步骤。
- 最终报告:总结事件处理过程和结果的报告。
由于没有行业标准,一个组织的文档实践可能与另一个组织完全不同。组织通常会根据自身需求和法律要求来定制其文档实践,可能会增加、删除甚至合并文档类型。
有效文档的重要性
理解了文档的类型后,我们来看看为什么制作有效的文档至关重要。
你是否曾因不知如何使用某个产品而查阅产品手册,以获取诸如如何开机等操作的说明?恭喜你,你已经通过使用文档解决了问题。同样,在事件响应中,预案手册能保障业务操作安全。预案手册的工作原理类似于产品手册。作为复习,预案手册是提供任何操作行动细节的手册。我们将在后续课程中更深入地了解预案手册。
让我们回到产品手册的例子。你是否曾因寻求帮助而查阅产品手册,却发现说明令人困惑,无法获得所需的帮助?无论是由于不清晰的视觉指示、说明,还是混乱的布局,你都无法利用文档解决问题。这就是无效文档的例子。
有效文档能减少不确定性和困惑。这在安全事件期间至关重要,因为当时气氛紧张且需要紧急响应。作为一名安全专业人员,你将经常使用和创建文档。确保你使用和制作的文档清晰、一致且准确,是至关重要的,这样你和你的团队才能迅速、果断地做出响应。
文档工具简介
了解了有效文档的原则后,我们来看看有哪些工具可以帮助我们进行记录。
文字处理器是记录文档的常用方式。一些流行的工具包括:Google Docs、OneNote、Evernote 和 Notepad++。像 JIRA 这样的工单系统也可用于记录和跟踪事件。最后,Google Sheets、录音设备、摄像机和手写笔记也是你可以用来记录的工具。
本节课中我们一起学习了文档在网络安全中的核心价值,包括其定义、不同类型(如预案手册和日志),以及制作有效文档的重要性。我们还简要介绍了一些实用的文档工具。关于文档的讨论才刚刚开始,很快你将使用你的事件处理者日志来实践你的文档技能。
010:入侵检测系统 🚨
在本节课中,我们将学习入侵检测系统(IDS)和入侵预防系统(IPS)的基本概念、工作原理以及它们在网络安全中的作用。
想象一下,你刚刚在家里安装了一套入侵安全系统。你在家中的每个出入口,包括门和窗户,都安装了入侵传感器。这些传感器通过发出声波来工作。当有物体触碰到声波时,声波会反射回传感器,并向你的手机触发警报,通知你检测到入侵。
入侵检测系统(IDS)的工作原理与家庭入侵传感器非常相似。入侵检测系统是一种监控系统和网络活动,并对可能的入侵发出警报的应用程序。与家庭入侵传感器一样,IDS收集并分析系统信息以发现异常活动。如果检测到异常情况,IDS会向适当的渠道和人员发送警报。
现在,想象一家珠宝店的橱窗上装有窗户传感器。当传感器检测到窗户玻璃被打碎时,它会触发一个钢制卷帘门自动升起,替换被打碎的窗户,以防止未经授权进入商店。这就是入侵预防系统(IPS)的功能。入侵预防系统拥有与IDS相同的所有能力,但它还能做得更多:它监控系统活动以发现入侵,并采取行动阻止入侵。
许多工具能够同时执行IDS和IPS的功能。一些流行的工具包括:Snort、Zeek、Kismet、SEON 和 Suricata。我们将在后续课程中探索Suricata。
你可能会好奇这些警报通知会发送到哪里。接下来,我们将讨论如何使用安全信息和事件管理工具来管理警报。
本节课中,我们一起学习了入侵检测系统(IDS)和入侵预防系统(IPS)的核心概念。我们了解到,IDS负责监控和发出警报,而IPS在此基础上还能主动采取措施阻止入侵。我们还介绍了几种常见的相关工具,并预告了后续课程将深入探讨的Suricata以及警报管理工具。
谷歌网络安全专业证书第六课:6:使用SIEM和SOAR工具进行警报和事件管理 🚨
在本节课中,我们将要学习两种关键的网络安全工具:安全信息与事件管理(SIEM)和安全性编排、自动化与响应(SOAR)。我们将了解它们如何帮助安全分析师收集、分析数据并高效响应安全事件。
上一节我们讨论了各种检测工具,你可能会好奇警报被发送到哪里以及安全分析师如何访问这些警报。本节中我们来看看SIEM工具如何解决这个问题。
SIEM是一种收集和分析日志数据以监控组织关键活动的工具。它为安全专业人员提供了其网络活动的高级概览。
那么,它具体是如何做到的呢?让我们用一个汽车的比喻来解释。汽车有许多不同的部件,如轮胎、车灯,当然还有引擎盖下的所有内部机械装置。汽车的组件繁多,但你如何知道其中一个出了问题呢?答案是仪表盘上的警告灯。仪表盘会通知你与汽车部件相关的信息,无论是胎压过低、电池电压不足、需要加油,还是车门未关好。
汽车的仪表盘通过通知你各部件的状态,让你可以采取行动进行修复。SIEM工具的工作方式与此类似。正如汽车有许多组件一样,一个网络可能拥有成千上万不同的设备和系统,这使得监控它们成为一项挑战。汽车的仪表盘为驾驶员提供了清晰的车辆状态视图,使他们无需亲自检查每个部件。同样地,SIEM会查看网络中所有不同系统之间的数据流,并对其进行分析,以提供网络潜在威胁的实时视图。
它通过摄取海量数据并对这些数据进行分类来实现这一点,从而使其能够通过一个类似汽车仪表盘的集中式平台轻松访问。
以下是SIEM的工作流程:
首先,SIEM工具收集和聚合数据。这些数据通常以日志的形式存在,日志基本上是记录给定源上发生的所有事件。数据可以来自多个来源,例如入侵检测系统(IDS)、入侵防御系统(IPS)、数据库、防火墙、应用程序等。
在所有数据被收集之后,它们会被聚合。聚合简单来说就是将来自不同数据源的所有数据集中到一个地方。根据SIEM收集的数据源数量,可能会收集到大量原始的、未经编辑的数据,并且并非SIEM收集的所有数据都与安全分析目的相关。
接下来,SIEM工具规范化数据。规范化处理SIEM收集的原始数据,通过移除非必要的属性来清理数据,只保留相关部分。数据规范化还能在日志记录中创建一致性,这在事件调查期间搜索特定日志信息时非常有帮助。
最后,规范化后的数据会根据配置的规则进行分析。SIEM根据规则集分析规范化数据,以检测任何可能的安全事件,这些事件随后会被分类或报告为警报,供安全分析师审查。
现在你已经探索了SIEM工具的功能,让我们来研究另一种安全管理工具:安全性编排、自动化与响应(SOAR)。
SOAR是一个应用程序、工具和工作流程的集合,它利用自动化来响应安全事件。
虽然SIEM工具为安全分析师收集、分析和报告安全事件以供审查,但SOAR则自动化了安全事件和事故的分析与响应。
SOAR还可用于跟踪和管理案例。多个事件可以构成一个案例,SOAR提供了一种在一个集中位置查看所有这些事件的方法。
本节课中我们一起学习了SIEM和SOAR这两种事件管理工具。SIEM如同网络的“仪表盘”,负责收集、规范化和分析日志数据以生成警报。而SOAR则在此基础上更进一步,通过自动化工作流程来帮助安全分析师高效响应和管理安全事件与案例。理解这两种工具如何协同工作,对于构建有效的安全监控和响应能力至关重要。
012:检测与响应总结
在本节课中,我们学习了网络安全事件响应的核心框架与工具,为后续的实践操作奠定了基础。
课程概述
我们首先介绍了事件响应生命周期,这是一个用于支持事件响应流程的框架。你还获得了自己的事件处理日志,用于记录事件调查过程,并将在本课程后续部分持续使用。
核心内容回顾
上一节我们介绍了事件响应的基本框架,本节中我们来回顾一下具体的学习要点。
以下是本部分课程涵盖的关键主题:
- 事件响应生命周期:学习了作为事件响应流程支撑框架的各个阶段。
- 事件处理日志:获得了用于记录和追踪事件调查过程的个人工具。
- 团队协作与计划:探讨了事件响应团队如何依据事件计划协同工作以应对安全事件。
- 响应工具:了解了在事件响应过程中使用的文档、检测和管理工具。
总结与展望
本节课中我们一起学习了事件响应的基础概念、团队协作模式以及常用工具。恭喜你完成了事件响应学习之旅的第一部分。
接下来,我们将深入探讨网络监控。你也将有机会通过实践活动来应用所学的知识。我们下一节再见。😊
013:欢迎来到第二周 🚀
在本节课中,我们将深入学习网络分析。我们将从回顾网络通信基础开始,逐步探索网络流量、数据包嗅探器以及数据包分析技术,这些技能对于检测和响应安全事件至关重要。
回顾与引入
上一节我们介绍了事件检测与响应的基本概念。你可能还记得在之前的课程中学习过网络知识。简单回顾一下,你学习了设备如何使用网络协议进行通信,以及不同类型的网络攻击。你也研究了一些网络安全最佳实践。
本节中,我们将在此基础上扩展,将重点转向网络分析。
本周学习内容概览
以下是本周我们将要探索的核心主题:
首先,你将通过探索网络流量来检查网络通信。
接下来,你将学习如何使用数据包嗅探器来查看和捕获网络流量。
然后,你将初步接触数据包分析,在此过程中,你将检查数据包字段并解码设备与网络之间的通信。
技能培养目标
作为一名安全专业人员,你的任务将是监控网络和系统基础设施,以检测恶意活动。
本部分内容将为你提供机会,培养你的网络和数据包分析技能。
你准备好开始了吗?让我们正式启程。😊
网络安全专业证书课程:第六课:拉响警报:检测与响应
P14:13_凯西:在网络安全中应用软技能
概述
在本节课程中,我们将跟随谷歌云企业安全销售团队的凯西,学习软技能在网络安全领域中的关键作用。我们将了解为什么清晰的沟通和开放的心态对于应对不断变化的网络威胁至关重要。
大家好,我是凯西,来自谷歌云企业安全销售团队。
首先,我能给出的最重要建议是:行动起来。我希望你们能加入这个领域。我们需要各种各样的人才。网络安全世界永不停歇、不断变化,这正是它充满魅力的原因。
我们需要安全领域更具多样性。我们需要每个人的参与。我们需要拥有不同思维、不同背景、不同视角的人才。
核心软技能一:清晰沟通
上一部分我们提到了参与的重要性,接下来我们看看具体需要哪些软技能。我认为,网络安全中最重要的软技能之一,是能够清晰地总结你想要表达的内容。这一点极其重要。
其核心在于将复杂的技术问题转化为易于理解的语言。例如,在报告安全事件时,不应只说“系统检测到异常流量”,而应总结为:“我们的Web服务器在下午3点遭受了来自IP地址X.X.X.X的DDoS攻击,导致服务中断了10分钟,现已缓解。”
核心软技能二:开放心态
然而,我认为另一项软技能可能比清晰沟通更为重要,那就是以开放的心态进行工作。
因为网络威胁态势在不断变化。威胁行为者、恶意攻击者从不休息。因此,我们也不能停止学习和适应。
在我看来,网络安全之所以充满乐趣,正是因为它持续变化。如果我们带着固定思维进入这个领域——所谓固定思维,是指“我认为我知道答案”、“我认为我完全了解情况”——那么我们绝对会错失良机。
我们需要始终保持好奇心。从网络安全的角度来看,彻底调查、不留死角至关重要。
你已经拥有这些技能
关于软技能最棒的一点是,我们都已拥有它们,并且每天都在使用。所以,每一位观看本视频的观众,在网络安全领域都已经拥有了先发优势。
总结
本节课中,我们一起学习了网络安全从业者必备的两项核心软技能:清晰的沟通能力与开放的成长型心态。网络安全领域变化迅速,需要多样化的思维和持续的好奇心。请记住,你已经具备这些软技能的基础,下一步就是勇敢地付诸实践,加入这个充满挑战与机遇的领域。
网络安全基础:第六课:网络流量流动的重要性
在本节课中,我们将学习网络流量的基本概念,理解监控网络流量对于检测安全事件的重要性,并初步了解如何通过观察流量异常来发现潜在的攻击迹象。
在许多组织中,网络通信会穿越不同国家的多个网络和不同的设备。数据可能被无意中发送并存储在不安全的地方,例如个人电子邮件收件箱或云存储平台。用户相信他们的数据能够被安全地发送和存储。而像您这样的安全专业人员的工作,就是帮助保护这些传输中和静止状态下的通信。
上一节我们介绍了如何通过数据分类和加密等安全控制来识别和保护关键资产。本节中,我们将扩展这个话题,探讨如何利用网络流量分析来监控网络活动并识别潜在的恶意行为。
那么,什么是网络流量?网络流量是指通过网络传输的数据量。而网络数据则是指在网络设备之间传输的具体数据内容。根据网络规模的大小,在任何特定时刻都可能产生巨大的网络流量。例如,在一个大型跨国组织中,可能随时有数千名员工在发送和接收电子邮件。这会产生大量的网络流量。面对如此庞大的流量,您如何知道哪些是正常行为,哪些是异常且需要作为潜在安全事件进行调查的呢?
想象一下在您日常通勤路上遇到了意外的交通堵塞。随着车辆缓慢移动,您发现是某些异常情况导致了拥堵,比如一次轻微的车辆碰撞,这减缓了预期的车流速度。在道路上,我们基于通勤经验对交通流有特定的预期。例如,早晚高峰的交通模式是正常且可预期的。而在非高峰时段出现的异常交通流量,则表明发生了意外事件,比如车辆碰撞。
网络流量的工作原理与此相同。通过理解数据应如何在网络中流动,您可以建立起对预期网络流量模式的认知。知道了什么是正常,您就能轻易地发现什么是异常。我们可以通过观察来检测流量异常,从而发现入侵指标。入侵指标是可观察到的、表明可能存在安全事件的证据。
以下是入侵指标的一个例子:数据渗漏。数据渗漏是指数据从系统未经授权地传输出去。攻击者利用数据渗漏来窃取或泄露数据,例如用户名、密码或知识产权。通过观察网络流量,我们可以判断是否存在入侵指标,例如从某个主机发出的大量出站流量。这是可能存在数据渗漏的迹象,需要进一步调查。
理解并监控网络流量中的不一致性,是安全专业人员工作的重要方面。下一节我们将实时观察一次数据渗漏攻击的具体表现,我们下一节见。
总结
本节课我们一起学习了网络流量的定义,理解了建立正常流量基线对于检测异常的重要性。我们认识到,通过监控网络流量并识别如异常大量出站流量等入侵指标,是发现潜在安全事件(如数据渗漏攻击)的关键第一步。
016:数据外泄攻击 🚨
在本节课中,我们将学习数据外泄攻击的全过程,包括攻击者如何实施攻击以及安全团队如何检测和响应此类威胁。我们将从攻击者和防御者两个视角来剖析这一常见的网络安全事件。
概述
监控网络流量是安全专业人员检测、预防和响应攻击的关键手段。即使信息被加密,监控网络流量对于安全目的仍然至关重要。通过识别与典型网络流量模式的偏差,安全团队能够取得显著成果。
攻击者视角
首先,让我们从攻击者的视角来理解数据外泄攻击的步骤。在攻击者能够执行数据外泄之前,他们需要先获得对网络和计算机系统的初始访问权限。
以下是攻击者通常采取的步骤:
- 初始访问:攻击者通常通过网络钓鱼等社会工程学攻击来达成此目的。这类攻击通过欺骗人们泄露敏感数据来实施。攻击者会发送带有附件或链接的钓鱼邮件,诱骗目标输入其凭据。
- 横向移动:成功获得设备访问权限后,攻击者不会就此止步。他们的目标是在环境中维持访问权限,并尽可能长时间地避免被检测到。为此,他们会执行一种称为“横向移动”或“跳转”的策略。这意味着他们会花时间探索网络,目标是扩大并维持其对网络上其他系统的访问权限。
- 识别资产:在横向移动过程中,攻击者会侦察环境,以识别有价值的资产。这些资产包括敏感数据,如专有信息、个人身份信息(如姓名和地址)或财务记录。他们通过搜索网络文件共享、内联网站点、代码仓库等位置来完成此步骤。
- 准备数据:识别出有价值的资产后,攻击者需要收集、打包数据,并为其从组织网络外泄到攻击者手中做好准备。他们可能会通过压缩等方式减少数据大小,这有助于隐藏被盗数据并绕过安全控制。
- 外泄数据:最后,攻击者将数据外泄到他们选择的目的地。方法有很多,例如,攻击者可以使用被入侵的电子邮件账户将窃取的数据通过邮件发送给自己。
防御者视角
现在,我们已经了解了攻击者的思路,接下来让我们探讨组织如何防御此类攻击。
上一节我们介绍了攻击者的攻击流程,本节中我们来看看安全团队如何构建防线。首先,安全团队必须阻止攻击者获得访问权限。
以下是组织可以采取的防御措施:
- 预防访问:可以采用多种方法来保护网络免受钓鱼攻击。例如,要求用户使用多因素认证。
- 监控活动:获得网络访问权限的攻击者可能会潜伏一段时间而不被发现。因此,安全团队监控网络活动以识别可能表明系统已遭入侵的可疑活动至关重要。例如,应调查来自网络外部IP地址的多次用户登录尝试。
- 保护资产:之前,我们学习了如何使用资产清单和安全控制来识别、分类和保护资产。作为组织安全策略的一部分,所有资产都应在资产清单中编目。同时,应应用适当的安全控制措施来保护这些资产免遭未经授权的访问。
- 检测与响应:如果数据外泄攻击成功,安全团队必须检测并阻止数据外泄。为了检测攻击,可以通过网络监控识别异常数据收集的指标。这些指标包括:
- 大量的内部文件传输。
- 大量的外部上传。
- 意外的文件权限变更。
SIEM(安全信息与事件管理)工具可以检测这些活动并发出警报。一旦警报发出,安全团队就会展开调查并阻止攻击继续。阻止此类攻击的方法有很多。例如,一旦识别出异常活动,就可以使用防火墙规则阻止与攻击者关联的IP地址。
总结
本节课中,我们一起学习了数据外泄攻击的完整生命周期。我们从攻击者如何通过初始访问、横向移动、识别资产、准备数据到最终外泄数据的步骤进行了分析。同时,我们也探讨了防御方如何通过预防访问、持续监控、保护资产以及利用工具检测和响应来构建有效的安全防线。数据外泄攻击只是众多可通过网络监控检测到的攻击之一,在接下来的课程中,你将学习如何使用数据包嗅探器来监控和分析网络通信。
017:数据包与数据包捕获
在本节课中,我们将要学习网络通信的基本单元——数据包,以及如何通过数据包捕获技术来记录和分析网络流量。理解这些概念对于检测网络中的异常活动和潜在威胁至关重要。
网络流量与数据包
无论是员工发送电子邮件,还是恶意行为者试图窃取机密数据,在网络中执行的操作都可以通过检查网络流量来识别。理解这些网络通信能为我们提供关于网络活动的宝贵洞察,从而更好地了解环境状况并防御潜在威胁。
基于此,让我们来探讨如何通过数据包捕获来记录网络流量。
数据包的结构
在之前的课程中,你已经了解到,当数据被发送时,它会被分割成数据包。就像邮件中写有地址的信封一样,数据包包含用于将其路由到目的地的投递信息。这些信息包括发送方和接收方的IP地址、正在发送的数据包类型等。数据包可以提供大量关于网络设备间通信的信息。
你可能还记得,一个数据包包含多个组成部分。
以下是数据包的主要组成部分:
- 头部:包含诸如所使用的网络协议类型和端口等信息。可以将其想象为信封上的姓名和邮寄地址。
- 网络协议:是决定网络设备间数据传输规则的一组规则。
- 端口:是计算机上用于组织网络设备间数据传输的非物理位置。
- 头部还包含数据包的源IP地址和目的IP地址。我们将在后续章节中探讨头部包含的更多信息。
- 载荷:包含正在传递的实际数据。这就像信封内信件的内容。
- 尾部:标志着一个数据包的结束。
如何观察数据包
那么,如何才能观察到网络数据包呢?就像气味无形但可以被闻到一样,数据包虽然不可见,但可以使用称为数据包嗅探器的工具来捕获。
你可能在之前的章节中还记得数据包嗅探。网络协议分析器或数据包嗅探器是一种旨在捕获和分析网络内数据流量的工具。
作为安全分析师,你将使用数据包嗅探器来检查数据包,寻找入侵指标。通过数据包嗅探,我们可以以数据包捕获的形式,获取流经网络的数据包的详细快照。
数据包捕获或 Pcap 是一个包含从接口或网络截获的数据包的文件。这有点像截获邮件中的信封。
数据包捕获的重要性
Pcap捕获在事件调查期间极其有用。通过访问网络设备间的通信,你可以观察网络交互,并开始构建事件脉络,以确定究竟发生了什么。
接下来,我们将讨论数据包分析的重要性。敬请期待。
本节课中,我们一起学习了数据包的基本概念、其组成部分(头部、载荷、尾部),以及如何使用数据包嗅探器进行数据包捕获。理解并能够分析Pcap文件,是识别网络异常、调查安全事件的关键技能。
018:解释数据包头的字段 🔍
在本节课中,我们将学习如何分析数据包,特别是解读IP数据包头中的各个字段。理解这些字段是进行有效网络流量分析和安全调查的基础。
如果捕获数据包好比截获邮件中的信封,那么分析数据包就如同阅读信封内的信件。我们将讨论分析数据包如何帮助我们解读和理解网络通信。
正如你所知,网络环境非常嘈杂。在任何给定时刻,设备之间都在进行着海量的通信。正因如此,数据包捕获文件可能包含大量的网络通信数据,这使得分析工作充满挑战且耗时。
分析数据包的重要性 ⏰
上一节我们提到了网络流量的复杂性,本节中我们来看看安全分析师为何需要分析这些数据。
作为一名安全专业人员,你需要在有限的时间内保护网络和计算机系统免受潜在攻击。你可能会分析数据包捕获文件形式的网络证据,以识别入侵指标。掌握使用数据包嗅探器过滤网络流量、收集相关信息的能力,是一项必备技能。
例如,假设你的任务是分析一个数据包捕获文件,以寻找数据渗漏的任何迹象。你将如何进行?使用网络分析器工具,你可以过滤数据包捕获文件并对数据包进行排序。这可以帮助你快速识别与数据渗漏相关的事件,例如从数据库流出的大量数据。
网络分析工具 🛠️
以下是两种常用的网络分析器工具示例:
- TCPdump:通过命令行访问。
- Wireshark:具有图形用户界面。
这两种工具对安全分析师都非常有用,很快你将有机会探索这两者。
在开始使用这些工具之前,让我们先详细探讨数据包中的字段,特别是IP头部。我们将在下一部分深入讲解。
本节课中,我们一起学习了数据包分析的基本概念及其在网络安全中的重要性,并初步认识了TCPdump和Wireshark这两种分析工具。理解数据包的结构是后续进行实际流量过滤和分析的关键第一步。
019:深入解析IP数据包头字段 🔍
在本节课中,我们将学习如何手动分析和解读网络数据包的核心组成部分——IP数据包头。这对于安全分析师理解网络通信的本质至关重要。
虽然有许多现成的工具可以使用,但作为一名安全分析师,学会如何手动读取和分析数据包至关重要。为此,让我们来研究一个重要的数据包组件:IP包头。
回顾TCP/IP模型
上一节我们介绍了TCP/IP模型的基本框架。TCP/IP模型是一个用于可视化数据如何在网络上组织和传输的框架。互联网层负责接收和传递网络数据包,也是互联网协议(IP)运作的层面,它是所有互联网通信的基础,确保数据包能够到达目的地。
理解IP协议的作用
互联网协议的工作方式类似于邮递员投递信件。它不使用信封上的投递信息,而是使用数据包头中的信息(如IP地址),然后确定数据包传输的最佳可用路径,以便在主机之间发送和接收数据。
数据包头与协议版本
正如你所知,IP数据包包含包头。包头包含了将数据传输到其预期目的地所必需的数据字段。不同的协议使用不同的包头。互联网协议有两个不同的版本:IPv4(被认为是互联网通信的基础)和IPv6(互联网协议的最新版本)。不同协议使用不同的包头,因此IPv4和IPv6的包头有所不同,但它们包含名称不同但功能相似的字段。目前IPv4仍然是使用最广泛的,因此我们将重点研究IPv4包头的字段。
以下是IPv4数据包头的主要字段及其功能:
- 版本:此字段指定所使用的IP版本,是IPv4还是IPv6。可以类比为邮件的不同类别,如优先、特快或平邮。
- 首部长度:此字段指定IP头部的长度加上任何选项的长度。
- 服务类型:此字段告诉我们某些数据包是否应被区别对待。可以类比为邮寄包裹上的“易碎”标签。
- 总长度:此字段标识整个数据包(包括头部和数据)的长度。可以类比为信封的尺寸和重量。
- 标识、标志、片偏移:这三个字段处理与分片相关的信息。分片是指一个IP数据包被分解成多个块,通过线路传输,并在到达目的地时重新组装。这些字段指定是否使用了分片以及如何按正确顺序重新组装被分解的数据包。这类似于邮件在到达目的地前可能经过多个路径(如邮箱、处理设施、飞机和邮车)。
- 生存时间:顾名思义,此字段决定数据包在被丢弃之前可以存活多长时间。没有这个字段,数据包可能会在路由器之间无限循环。TTL类似于跟踪信息提供信封预期送达日期的细节。
- 协议:此字段通过提供一个对应特定协议的值来指定所使用的协议。例如,TCP用数字
6表示。这类似于在邮政地址中包含门牌号。 - 首部校验和:此字段存储一个称为校验和的值,用于确定头部是否发生了任何错误。
- 源地址:指定源IP地址。
- 目的地址:指定目的IP地址。这就像信封上的发件人和收件人联系信息。
- 选项:此字段不是必需的,通常用于网络故障排除,而非普通流量。如果使用此字段,头部长度会增加。这就像为信封购买邮政保险。
最后,在数据包头的末尾是数据包的数据所在位置,就像电子邮件中的正文一样。
总结
本节课中,我们一起深入学习了IPv4数据包头的各个关键字段及其功能。从版本标识到地址信息,再到控制传输的生存时间和分片字段,每个部分都像邮件系统中的元素一样,共同协作以确保数据能够准确、可靠地穿越网络到达目的地。理解这些基础字段是手动分析网络流量、诊断问题以及识别潜在安全威胁的重要第一步。
020:使用tcpdump进行数据包捕获 🕵️
在本节课中,我们将要学习如何使用一个强大的命令行网络分析工具——tcpdump。我们将了解它的基本用法、如何解读其输出,以及如何利用它来捕获和分析网络数据包。
概述 📋
tcpdump 是一个流行的网络分析器。它预装在许多 Linux 发行版上,也可以安装在大多数类 Unix 操作系统上,例如 macOS。你可以使用它轻松捕获和监控网络流量,例如 TCP、IP、ICMP 等协议的数据包。
tcpdump 是一个命令行工具,这意味着它没有图形用户界面。在本课程的前期,你已经了解到命令行是一个非常强大且高效的工具。现在,我们将结合 tcpdump 来实践使用它。
你可以通过为命令应用选项和标志来轻松过滤网络流量,从而精确地找到你想要的信息。例如,你可以过滤特定的 IP 地址、协议或端口号。
一个简单的tcpdump命令示例 🔍
让我们来检查一个用于捕获数据包的简单 tcpdump 命令。请注意,当你使用此命令时,你计算机上的流量显示可能会有所不同。
乍一看,输出信息可能显得非常多。让我们逐行分析它。
我们运行的命令是:sudo tcpdump -i any -v -c 1。
我们使用 sudo 是因为我们当前登录的 Linux 账户没有运行 tcpdump 的权限。
然后,我们指定 tcpdump 来启动程序,-i 选项用于指定我们想要嗅探流量的网络接口(这里使用 any 表示所有可用接口)。-v 代表详细模式,它会显示详细的数据包信息。-c 代表计数,它指定 tcpdump 将捕获多少个数据包。
在这里,我们指定了 1,即只捕获一个数据包。现在,让我们来检查输出。
解读tcpdump输出 📄
tcpdump 告诉我们,它正在监听所有可用的网络接口。它还提供了附加信息,例如捕获数据包的大小。
第一个字段是数据包的时间戳,它详细说明了数据包传输的具体时间。它以小时、分钟、秒和秒的小数部分开始。
时间戳在事件调查中特别有用,当你想要确定时间线并关联流量时。
接下来,IP 被列为版本字段。这里显示为 IP,意味着它是 IPv4。
详细选项 -v 为我们提供了关于 IP 数据包字段的更多细节,例如协议类型和数据包长度。让我们仔细看看。
第一个字段 TOS 代表服务类型。回想一下,这个字段告诉我们某些数据包是否应该被区别对待。它由一个十六进制值表示。
TTL 字段是生存时间,它告诉我们一个数据包在网络中被丢弃前可以传输多久。
接下来的三个字段是标识、偏移量和标志,它们提供了与数据包分片相关的信息。这些字段提供了如何按正确顺序重组数据包的指令。例如,标志旁边的 DF 代表“不分片”。
接下来,proto 是协议字段。它指定了正在使用的协议,并提供了与该协议对应的值。在这里,协议是 TCP,由数字 6 表示。
最后一个字段 length 是数据包的总长度,包括 IP 头。
分析通信与TCP信息 🔄
接下来,我们可以观察到正在相互通信的 IP 地址。箭头的方向指示了流量的方向。IP 地址的最后一部分指示了端口号或名称。
接下来,cksum 或校验和字段对应头部校验和,它存储了一个用于确定头部是否发生错误的值。在这里,它告诉我们校验正确,没有错误。
剩余的字段与 TCP 相关。例如,Flags 指示 TCP 标志。P 是推送标志,而句点表示这是一个确认标志。这意味着该数据包正在推送数据。
这只是你可以在 tcpdump 中使用的众多命令之一,用于捕获网络流量。观察这些无形数据包中包含的所有信息,是不是很吸引人?请亲自尝试一下。
总结 ✨
本节课中,我们一起学习了 tcpdump 的基本使用方法。我们了解了如何通过 sudo tcpdump -i any -v -c 1 这样的命令捕获单个数据包,并详细解读了输出结果中的各个字段,包括时间戳、IP版本、服务类型、生存时间、协议类型以及TCP标志等。掌握 tcpdump 是进行网络流量分析和安全事件调查的重要基础技能。
021:检测与响应
概述
在本节课中,我们将回顾并总结网络流量分析与数据包检查的核心技能。这些技能对于识别安全威胁和进行事件响应至关重要。
课程总结 🎯
到目前为止,你的表现非常出色。祝贺你成功捕获并分析了第一个数据包。
让我们回顾一下目前已涵盖的内容。
首先,你学习了网络流量如何提供有价值的通信洞察。这是通过监控网络活动以寻找入侵指标来实现的。
接着,你学习了如何发现异常的网络活动,例如数据渗漏。
然后,你学习了如何使用数据包嗅探器来查看和捕获网络流量。
最后,你学习了如何通过数据包分析来检查数据包。你剖析了数据包头部的数据字段,并详细分析了数据包捕获文件。
你在培养入门级安全职位所需技能方面取得了巨大进展。
后续展望 🔮
在接下来的课程中,你将深入激动人心的事件调查世界。你将研究检测和遏制安全事件背后的流程。
我们下一课再见。😊
022:欢迎来到第三周 🚨
在本节课中,我们将要学习安全事件从发生到结束的完整生命周期。我们将重点关注如何检测、响应安全事件,并从事件中恢复。通过本节内容,你将获得对事件生命周期的全面理解。
欢迎回来。大家目前的学习成果非常出色。
你们正在学习的技能将为开启安全职业生涯奠定坚实的基础。
从网络分析到事件响应
上一节中,我们应用了网络知识来加深对网络流量的理解。我们练习了安全分析师在工作中使用的一些技能,例如捕获网络流量和分析数据包。
接下来,我们将从头到尾地审视一个安全事件的生命周期。
本节核心学习目标
我们将聚焦于如何在检测到事件后进行事件调查与核实。以下是本节将要探讨的主要内容:
- 调查与核实:学习如何调查和验证一个已被检测到的事件。
- 响应计划与流程:探索事件响应背后的计划和流程。
- 事后行动:了解组织为从事件中学习并改进而采取的后续行动。
在本节结束时,你将全面掌握一个安全事件的完整生命周期。
你已经准备就绪。让我们开始吧。
023:检测与响应
概述
在本节课中,我们将要学习安全事件响应生命周期中的检测与分析阶段。你将了解安全事件如何被发现、如何被分析验证,以及安全分析师在此过程中面临的挑战与所需技能。
检测与分析阶段详解
上一节我们介绍了事件响应生命周期的整体框架,本节中我们来看看其核心阶段之一:检测与分析。
安全事件总会发生。作为一名安全分析师,在你的职业生涯中,很可能需要在某个时刻负责调查和响应安全事件。
检测与分析是事件响应团队验证和分析事件的阶段。
检测能够及时发现安全事件。需要记住,并非所有事件都是安全事件,但所有安全事件都属于事件。事件是业务运营中的常规活动,例如访问网站或密码重置请求。
入侵检测系统(IDS)和安全信息与事件管理(SIEM)工具会从不同来源收集并分析事件数据,以识别潜在的非正常活动。
如果检测到事件,例如恶意行为者成功获得了对某个账户的未授权访问,系统就会发出警报。随后,安全团队开始进行分析阶段。
分析阶段涉及对警报的调查与验证。在此过程中,分析师必须运用批判性思维和事件分析技能来调查和验证警报。他们会检查入侵指标,以确定是否确实发生了安全事件。
这可能会面临一些挑战。检测的挑战在于,不可能检测到所有事情。即使优秀的检测工具,其工作方式也存在局限性。并且,由于资源有限,自动化工具可能无法在组织内部完全部署。
有些事件是不可避免的,这就是为什么组织制定事件响应计划非常重要。
分析师在每个班次通常会收到大量警报,有时甚至成千上万。大多数时候,高警报量是由警报设置配置不当引起的。例如,过于宽泛且未根据组织环境进行调整的警报规则会产生误报。
其他时候,高警报量也可能是由恶意行为者利用新发现的漏洞所引发的真实警报。
作为一名安全分析师,具备有效分析警报的能力至关重要。接下来,你将学习如何做到这一点。
总结
本节课中我们一起学习了事件响应生命周期的检测与分析阶段。我们明确了事件与安全事件的区别,了解了IDS和SIEM工具在检测中的作用,并探讨了分析师在验证警报、处理高警报量以及区分误报与真实威胁时所面临的挑战与所需技能。
024:网络安全行业的变化 🛡️
在本节课中,我们将跟随谷歌云首席信息安全官办公室总监马克的分享,了解网络安全行业的动态与挑战,特别是零信任架构的兴起及其重要性。
概述
网络安全是一个持续演变的领域。本节内容将探讨行业现状、面临的挑战以及未来的发展趋势,重点分析零信任模型如何改变传统的安全范式。
行业现状与挑战
上一节我们探讨了网络安全的基础,本节中我们来看看行业面临的现实挑战。马克指出,当前行业普遍缺乏攻击者所具备的那种敏捷性。
- 攻击者一旦发现有效方法,便会持续使用,直到遇到阻碍。
- 当阻碍出现时,他们能迅速调整战术和技术,以绕过障碍,在未来的攻击中再次尝试入侵。
因此,我们无法预测未来,网络安全也远未达到最终形态。这是一个持续演进的行业。
应对策略:敏捷与准备
鉴于攻击的持续性和多变性,防御方需要采取相应的策略来应对。
- 我们必须做好多方面的准备,以应对攻击者必然发起的持续攻击。
- 这要求我们具备一定的敏捷性。你需要适应在未知环境中工作。
- 同时,你必须具备足够的智力,以便能够即时消化信息并制定新的解决方案。
核心趋势:零信任架构
当前,零信任是一个重要趋势。这既是行业发展的内在需求,也是全球某些地区的法规要求。
零信任标志着我们正在远离过去的安全实践方式。它可以用一个简单的场景来理解:
假设你是一名商务旅行者,带着商务笔记本电脑入住世界另一端的酒店,需要为即将召开的商务会议做准备。传统模式下,系统只需验证你是企业内的合法用户,并结合设备信息,就允许你访问所需信息。
而零信任模型的核心原则是 “从不信任,始终验证”。它不默认信任网络内外的任何用户或设备,每次访问请求都需要进行严格的身份验证和授权。
未来展望与持续学习
我相信,我们在零信任方法或架构上投入越多,就能达到一个更好的基准点。但未来的很多情况仍是未知的。
这意味着我们需要持续学习,不断接触行业的不同领域,以便为未来可能发生的情况做好准备。
总结
本节课中我们一起学习了网络安全行业的动态。我们认识到攻击者具有高度的敏捷性,因此防御方必须做好准备并培养自身的敏捷应对能力。零信任作为当前的核心趋势,正在改变以边界防护为中心的传统安全模式,转向以身份和设备为中心的持续验证。最后,面对未知的未来,持续学习和拓宽视野是网络安全从业者保持竞争力的关键。
025:文档的好处 📝
在本节课中,我们将探讨文档在网络安全事件响应中的核心价值。你将了解良好的文档实践如何为安全团队带来透明度、标准化和清晰度,并理解其对于团队协作、知识传承和应对变化的重要性。
你可能还记得我们之前讨论过安全团队在响应事件时使用的不同文档工具和类型。
在本次视频中,我们将深入分析文档带来的具体好处,以便你作为一名安全专业人员,能更好地理解如何利用文档。
透明度与可追溯性 🔍
上一节我们介绍了文档的类型,本节中我们来看看文档的第一个核心好处:提供透明度。如果事件被记录下来,就意味着它发生的过程有据可查。这使得相关人员能够访问关键信息。
透明的文档可作为安全保险索赔、监管调查和法律程序的重要证据来源。在后续章节中,你将学到更多有助于实现这一目标的文档流程。
标准化与质量保证 ⚙️
文档的另一个关键益处是提供标准化。这意味着组织成员可以遵循一套既定的指南或标准来完成某项任务或工作流。
以下是创建标准化文档的一个例子:
- 建立组织的安全策略:定义整体的安全目标和原则。
- 制定流程:描述完成某项安全任务(如漏洞管理)的宏观步骤。
- 细化规程:提供执行流程中每个步骤的具体、可操作指令。
这有助于维持工作质量,因为团队成员有明确的规则可以遵循。
清晰度与效率提升 🚀
除了标准化,文档还能显著提高工作的清晰度。有效的文档不仅能让团队成员清楚理解自己的角色和职责,还能提供“如何完成工作”的具体信息。
例如,在事件响应中,提供详细步骤的应急预案能有效防止不确定性和混乱,确保响应行动快速、准确。
适应变化与持续改进 📈
网络安全领域日新月异。威胁在演变,技术工具在更新,监管要求也可能发生变化。因此,定期维护、审查和更新文档至关重要,以确保其能跟上任何变化。
作为一名安全专业人员,你很可能需要兼顾文档工作和其他任务。花时间记录你的行动,能帮助你回顾事实和信息,甚至可能发现之前采取的行动中存在的一些疏漏。你花在文档上的时间非常有价值,这不仅对你自己有益,对整个组织也是如此。
总结与回顾 ✅
本节课中,我们一起学习了文档在网络安全工作中的四大核心好处:
- 透明度:为事件提供可追溯的记录,支持审计、调查与合规。
- 标准化:通过建立策略、流程和规程,确保工作质量的一致性与可靠性。
- 清晰度:明确角色与操作步骤,提升团队协作效率,减少误解。
- 适应性:通过持续更新,帮助个人与组织跟上不断变化的安全环境,并从中学习和改进。
记住,良好的文档习惯是专业安全工程师的重要技能,它能让团队突破个人能力的局限,实现规模化、高效化的安全运营。
026:使用责任链形式记录证据 🔗
在本节课中,我们将学习责任链这一关键概念。责任链是事件响应过程中,用于记录证据保管和控制流程的文档化方法。它确保了证据从收集到最终处置的整个生命周期都有迹可循,对于法律诉讼至关重要。
上一节我们讨论了文档如何提供透明度,本节中我们来看看实现这种透明度的具体工具之一——责任链。
在事件响应期间,必须在整个事件生命周期内对证据进行记录。如果证据被要求作为法律程序的一部分,追踪证据就变得尤为重要。安全团队如何确保这一点得以实现?他们使用一种名为“责任链”的表格。
责任链是记录事件生命周期中证据占有和控制情况的过程。一旦证据被收集,就需要引入责任链表格。在处理证据时,应填写该表格的详细信息。
让我们通过一个数字取证分析的简单示例,来研究责任链是如何使用的。
之前我们学到,数字取证是收集和分析数据以确定攻击后发生了什么的实践。在一次事件响应中,Ayesha确认一个被入侵的硬盘需要取证团队进行检查。
首先,她确保硬盘被写保护,这样磁盘上的数据就无法被编辑或擦除。然后,她计算并记录硬盘镜像的加密哈希函数。请记住,哈希函数是一种能产生无法解密的代码的算法。
随后,Ayesha被指示将硬盘移交给取证部门的Collin。Collin检查后,将其发送给另一位分析师Naav。Naav收到被入侵的硬盘后,又将其交给她的经理Arman。
每次硬盘被转移给另一个人时,他们都需要在责任链表格中记录,以确保证据的流转是透明的。通过使用Ayesha在流程开始时记录的原始哈希值,可以检测出硬盘数据是否被篡改。这确保了存在一条“纸质线索”,描述了谁处理了证据、为何处理、以及在何时何地处理。
与其他文档类型一样,责任链表格没有标准的模板,但它们包含一些共同的元素。以下是您可能在责任链日志表格中看到的内容:
以下是责任链日志表格通常包含的要素:
- 证据描述:包括任何识别信息,如位置、主机名、MAC地址或IP地址。
- 保管日志:详细记录转移和接收证据的人员姓名。还包括证据被收集或转移的日期、时间以及转移目的。
您可能想知道,如果证据记录不正确或存在缺失条目会怎样?这就是所谓的责任链断裂,当证据收集和记录在责任链中存在不一致时就会发生。
在法律法庭上,责任链文件有助于确立证据的完整性、可靠性和准确性。对于与安全事件相关的证据,责任链表格用于帮助满足法律标准,以便这些证据可用于法律程序。
如果恶意行为者入侵了系统,必须有证据来确定他们的行为,以便采取适当的法律行动。然而,在某些情况下,责任链的重大断裂会影响证据的完整性、可靠性和准确性。这会影响证据是否能成为可信的信息来源并在法庭上使用。
责任链表格为我们提供了一种维护证据的方法,从而可以让恶意行为者为其行为负责。
本节课中,我们一起学习了责任链的概念及其在网络安全事件响应中的关键作用。我们了解到,责任链通过详细记录证据的流转过程,确保了证据的法律效力,是追究恶意行为者责任、维护系统安全的重要工具。
谷歌网络安全专业证书第六课:6:网络安全预案的价值 🛡️
在本节课中,我们将要学习网络安全预案的概念、类型及其在事件响应中的核心价值。预案为安全团队提供了清晰、有序的行动指南,是高效应对安全事件的关键工具。
你是否曾前往一个从未到访过的地方旅行?你可能使用过旅行行程单来规划活动。旅行行程单是重要的文档,尤其是在前往新地点时。它能帮助你保持条理,并清晰地展示旅行计划。它详细说明了你将进行的活动、访问的地点以及目的地之间的交通时间。
网络安全预案与旅行行程单类似。正如我们之前讨论过的,预案是一份提供任何操作行动细节的手册。它为安全分析师提供了事件发生时应采取的确切步骤说明。预案为安全专业人员描绘了在整个事件响应生命周期中所需完成任务的全景图。
事件响应有时可能充满不可预测性和混乱。安全团队需要快速有效地采取行动。预案通过清晰地概述响应特定事件时应采取的行动,为这一时期提供了结构和秩序。通过遵循预案,安全团队可以减少响应期间的猜测和不确定性。
这使得安全团队能够迅速且毫不犹豫地采取行动。没有预案,几乎不可能实现有效且迅速的事件响应。预案内部可能包含检查清单,这也能帮助安全团队在压力时期高效工作,确保他们记住完成事件响应生命周期中的每一步。
预案概述了应对诸如勒索软件、数据泄露、恶意软件或DDoS等攻击所必需的步骤。以下是一个使用流程图展示的预案示例,说明了在检测到DDoS攻击时应采取的步骤。
该图描绘了检测DDoS的过程,始于确定入侵指标,例如未知的入站流量。一旦确定了入侵指标,下一步是收集日志,最后分析证据。
预案主要有三种类型:非自动化预案、自动化预案和半自动化预案。
我们刚才探讨的DDoS预案就是一个非自动化预案的例子,它需要分析师逐步执行操作。
自动化预案则能自动化事件响应流程中的任务。例如,可以使用自动化预案来完成诸如对事件严重性进行分类或收集证据等任务。自动化预案有助于缩短事件解决时间。SOAR和SIEM工具可以配置来自动化预案。
最后,半自动化预案结合了人工操作与自动化。繁琐、易出错或耗时的任务可以实现自动化,而分析师则可以优先处理其他任务。半自动化预案有助于提高生产力并缩短解决时间。
当安全团队响应事件时,他们可能会发现预案需要更新或修改。威胁形势在不断演变,为了使预案保持有效,必须定期维护和更新。引入预案变更的一个绝佳时机是在事后活动阶段。我们将在后续章节中更详细地探讨这一阶段。
在本节课中,我们一起学习了网络安全预案如何像旅行行程单一样为事件响应提供结构和指导。我们了解了预案的三种主要类型(非自动化、自动化、半自动化)及其各自的应用场景,并认识到定期更新预案对于应对不断变化的威胁至关重要。预案是确保安全团队能够高效、有序、自信地应对安全事件的基础工具。
028:事故处理中的初步审查的作用 🚨
在本节课中,我们将学习网络安全中“初步审查”的概念及其在事故处理流程中的关键作用。初步审查是安全分析师高效管理海量警报、确定响应优先级的核心方法。
正如你所了解的,安全分析师在任何一天都可能被大量的警报所淹没。
那么,分析师如何管理所有这些警报呢?医院急诊科每天会接收大量病人,每位病人因不同原因需要医疗护理,但并非所有病人都能立即得到救治。这是因为医院的资源有限,必须高效管理时间和精力。他们通过一个被称为“分诊”的过程来实现这一点。
在医学领域,分诊用于根据病人病情的紧急程度对其进行分类。例如,患有心脏病等危及生命状况的病人将得到立即救治,而手指骨折等非危及生命状况的病人可能需要在见到医生前等待。分诊有助于管理有限资源,使医护人员能够优先处理最紧急的病人。
安全领域的初步审查
上一节我们了解了医学分诊,本节中我们来看看它在安全领域的应用。在警报升级之前,它会经过一个初步审查过程,该过程根据事件的重要或紧急程度确定优先级。与医院急诊科类似,安全团队用于事件响应的资源也是有限的。
并非所有事件都相同,有些可能需要紧急响应。事件根据其对系统机密性、完整性和可用性构成的威胁进行审查。例如,涉及勒索软件的事件需要立即响应,因为勒索软件可能造成财务、声誉和运营损害。勒索软件的优先级高于员工收到钓鱼邮件这类事件。
初步审查的时机与流程
初步审查何时发生?一旦检测到事件并发出警报,初步审查就开始了。作为安全分析师,你需要识别不同类型的警报,然后根据紧急程度确定其优先级。
初步审查流程通常如下所示:
以下是初步审查的一般步骤:
- 接收与评估警报:首先,接收并评估警报,以确定其是否为误报,以及是否与现有事件相关。
- 分配优先级:如果确认为真实阳性警报,则根据组织的政策和指南为其分配优先级。优先级定义了安全团队将如何响应该事件。
- 调查与收集证据:最后,调查警报,并收集、分析与警报相关的任何证据,例如系统日志。
作为分析师,你需要确保完成彻底的分析,以便有足够的信息对你的发现做出明智的决策。
为调查添加上下文
例如,假设你收到一个用户登录失败的警报。你需要为调查添加上下文,以确定其是否具有恶意性。你可以通过提问来实现:
以下是调查登录失败警报时可以考虑的问题:
- 此警报是否有任何异常之处?
- 是否存在多次失败的登录尝试?
- 登录是否发生在正常工作时间之外?
- 登录是否发生在网络外部?
这些问题有助于描绘事件的全貌。通过添加上下文,你可以避免做出可能导致不完整或错误结论的假设。
总结与过渡
现在我们已经介绍了如何对警报进行初步审查,接下来我们准备讨论如何响应事件并从事件中恢复。让我们继续前进。
本节课中,我们一起学习了初步审查在网络安全事件处理中的核心作用。我们了解到,初步审查是一个类似于医疗分诊的优先级排序过程,它帮助安全团队在资源有限的情况下,根据事件对系统机密性、完整性和可用性的威胁程度,高效地确定响应顺序。掌握这一流程是有效管理警报、启动恰当响应的第一步。
谷歌网络安全专业证书第六课:6:跨团队合作
在本节课中,我们将跟随谷歌红队项目管理负责人罗宾,学习网络安全工作中至关重要的跨团队协作技能。我们将了解团队合作的重要性、核心原则,并通过一个真实案例来体会其价值。
我的名字是罗宾,我是谷歌红队的项目管理负责人。
我认为团队合作可能是网络安全从业人员最重要的技能。协作文化的核心在于理解每个人都带来独特的视角、有用的观点和技能。团队合作之所以关键,是因为网络安全问题本身非常困难且复杂。网络攻击者很聪明,他们资源充足且动机强烈。因此,他们不断想出新的方法来实施攻击。
这就需要拥有各种视角、各种问题解决技能和各种知识的人聚集在一起,共同理解发生了什么以及我们如何防御。
上一节我们提到了团队合作的重要性,本节中我们来看看在团队中工作的具体期望。当你作为团队一员工作时,需要期待的是你应该与同事自由分享信息,他们也会在事件响应的初期和混乱阶段与你自由分享信息。所有信息都有用,因此要准备好立即投入工作。
以下是团队协作中的关键行动准则:
- 分享你所知道的一切。
- 倾听周围人所说的话。
这样我们才能尽快得出最佳解决方案。
在了解了团队协作的基本准则后,我们通过一个真实案例来看看其实际效果。在我担任现职后不久,我们经历了一次非常重大的安全事件。一个在互联网上许多不同地方被广泛使用的库中发现了一个严重的漏洞。
我是参与响应此事件的团队一员。我们组建的团队建立了一个响应流程,利用我们在世界各地的同事进行7x24小时不间断的覆盖。
我们经历的出色团队合作带来的最终结果是:
- 首先,我们成功管理了该漏洞。
- 但更重要的是,团队在事后凝聚的方式,以及人们至今仍在谈论我们出色的团队合作如何拉近了同事关系,这意味着我们的团队协作比以前更好了。我们现在做得非常好的这些团队协作方面,让我们所有人都感觉共同经历了一些事情,并且变得更加强大。
另一方面,在你学习这个证书课程的过程中,你可能会发现网络安全很棘手或很难,但请不要放弃。你学得越多,就越会享受其中。所以请坚持下去,尽可能学习一切知识,你将拥有一个伟大的职业生涯。
总结
本节课中,我们一起学习了网络安全中跨团队合作的核心价值。我们了解到,面对复杂且不断演变的威胁,汇集多元化的视角和技能至关重要。有效的团队协作要求自由分享信息、积极倾听,并能通过共同应对挑战来增强团队凝聚力。记住,持续学习是应对网络安全挑战和享受职业生涯的关键。
030:生命周期的封锁、清除和恢复阶段 🔒
在本节课中,我们将要学习事件响应生命周期的第三个阶段。这个阶段涵盖了安全团队如何对事件进行封锁、清除并从中恢复的步骤。理解这些步骤的相互关联性至关重要,因为封锁有助于实现清除的目标,而清除又为恢复奠定了基础。此阶段也与NIST网络安全框架的核心功能——“响应”和“恢复”——紧密集成。
封锁:限制损害蔓延 🛑
上一节我们介绍了事件响应的整体流程,本节中我们来看看具体行动的第一步:封锁。在检测到事件后,必须立即对其进行封锁。
封锁是指限制和防止事件造成额外损害的行为。组织通常会在其事件响应计划中预先制定详细的封锁策略。
以下是关于封锁策略的关键点:
- 封锁策略详细规定了安全团队在检测到事件后应采取的行动。
- 针对不同类型的事件,需要使用不同的封锁策略。
例如,对于单台计算机系统上的恶意软件事件,一个常见的封锁策略是通过断开网络连接来隔离受影响的系统。这可以防止恶意软件在网络中传播到其他系统。因此,事件被限制在单个受感染的系统内,从而限制了进一步的损害。封锁行动是从环境中移除威胁的第一步。
清除:根除所有威胁痕迹 🧹
一旦事件被成功封锁,安全团队便着手通过清除来移除事件的所有痕迹。
清除涉及从所有受影响的系统中彻底移除事件的构成元素。清除行动是恢复系统正常状态的关键前提。
以下是清除阶段可能采取的行动示例:
- 执行漏洞测试。
- 对与威胁相关的漏洞应用补丁。
恢复:恢复正常运营 🔄
最后,事件响应生命周期此阶段的最后一步是恢复。
恢复是将受影响的系统恢复到正常运营状态的过程。事件可能会在恢复期间中断关键的商业运营和服务。在此阶段,所有受事件影响的服务都将被带回正常运作状态。
以下是恢复阶段可能采取的行动:
- 对受影响系统进行重镜像。
- 重置密码。
- 调整网络配置,例如防火墙规则。
需要记住的是,事件响应生命周期是循环的。随着时间的推移,可能会发生多起事件,并且这些事件可能相互关联。安全团队可能需要返回到生命周期中的其他阶段,以进行额外的调查。
总结 📝
本节课中我们一起学习了事件响应生命周期的第三阶段。我们了解到,封锁旨在限制损害,清除是为了彻底移除威胁,而恢复则是让业务和系统回归正轨。这三个步骤环环相扣,共同构成了从安全事件中有效恢复的完整路径。接下来,我们将探讨生命周期的最后一个阶段。
谷歌网络安全专业证书第六课:6:拉响警报:检测与响应
P31:30_生命周期的事后活动阶段
概述
在本节中,我们将学习事件响应生命周期的最后一个阶段:事后活动阶段。我们将了解安全团队在事件结束后如何通过回顾与分析,总结经验教训,并改进未来的响应流程。
事后活动阶段介绍
上一节我们介绍了事件的遏制、根除与恢复。当安全团队成功完成这些步骤后,他们的工作就结束了吗?并非如此。在网络安全领域,无论是面对新技术还是新漏洞,总有更多需要学习的地方。而学习和改进的最佳时机,就发生在事件响应生命周期的最终阶段——事后活动阶段。
事后活动阶段的核心是回顾事件,以识别在整个事件处理过程中可以改进的领域。
更新与创建文档
在此阶段,安全团队会更新或创建不同类型的文档。其中一种关键文档是最终报告。
最终报告是一份提供事件全面回顾的文档。它包含与事件相关的所有事件的时间线和详细信息,以及未来预防的建议。
召开经验总结会议
在事件发生时,安全团队的目标是集中精力进行响应和恢复。事件结束后,团队的工作重点则转向最小化事件再次发生的风险。改进流程的一种有效方式是召开经验总结会议。
经验总结会议邀请所有参与事件处理的各方参加,通常在事件发生后两周内举行。会议期间,团队会回顾事件,确定发生了什么、采取了哪些行动以及这些行动的效果如何。最终报告是此次会议的主要参考文件。
经验总结会议讨论的目标是分享关于事件的想法和信息,并探讨如何改进未来的响应工作。
以下是经验总结会议上可以提出的一些问题:
- 发生了什么?
- 事件在什么时间发生?
- 谁发现了它?
- 它是如何被遏制的?
- 为恢复采取了哪些行动?
- 有哪些可以做得不同的地方?
从错误中学习
事件回顾可能会揭示在检测和响应过程中出现的人为错误。无论是安全分析师在恢复过程中遗漏了一个步骤,还是一名员工点击了钓鱼邮件中的链接导致恶意软件传播,都应避免因某人做了或没做某事而指责他们。
相反,安全团队应将此视为一个从已发生事件中学习并改进的机会。
总结
本节课中,我们一起学习了事件响应生命周期的最后阶段——事后活动阶段。我们了解到,通过创建最终报告、召开经验总结会议以及建设性地分析错误,安全团队能够将每次安全事件转化为宝贵的经验,从而持续优化响应流程,提升组织的整体安全防护能力。
032:检测与响应
概述
在本节课中,我们将总结事件调查与响应的核心流程。我们将快速回顾NIST事件响应生命周期的各个阶段,包括检测、分析、遏制、根除、恢复以及事后行动。
事件调查与响应总结
关于事件调查与响应的讨论到此结束。恭喜你完成了又一个章节的学习。我们在此涵盖了大量内容。
现在,让我们花点时间快速回顾一下。
首先,我们重温了NIST事件响应生命周期中的检测与分析阶段,并重点探讨了如何调查和验证一个事件。
我们讨论了检测的目的,以及如何利用入侵指标来识别系统上的恶意活动。
接下来,我们审视了事件响应背后的计划与流程,例如文档记录和事件分级分类。
随后,我们探讨了遏制与根除事件的策略,以及如何从事件中恢复。
最后,我们分析了事件生命周期的最后一个阶段——事后行动。我们讨论了最终报告、时间线,以及通过经验教训会议安排事后审查的价值。
作为一名安全分析师,你将负责完成事件响应生命周期每个阶段所涉及的一些流程。
在接下来的课程中,你将学习关于日志的知识,并有机会使用模拟环境来探索它们。
总结
本节课中,我们一起学习了事件响应生命周期的完整流程,从最初的检测分析到最终的事后总结与改进。掌握这些阶段和核心概念,是有效应对安全事件的基础。
网络安全基础:第六课:第四周:日志与警报分析入门
在本节课中,我们将学习网络安全事件调查的核心组成部分:日志与警报。我们将了解什么是日志、如何创建和分析它们,并探索如何使用工具来解读入侵检测系统的签名和搜索安全事件。
历史书籍、收据、日记。这些东西有什么共同点?它们都记录事件。
无论是历史事件、金融交易还是私人日记条目,记录都保存了事件的细节。获取这些细节能在许多方面帮助我们。
上一节我们探讨了事件响应生命周期每个阶段涉及的不同流程和程序。本节中,我们将重点关注事件调查的关键组成部分之一:日志与警报。
在安全领域,日志记录事件详情,这些详情用于支持调查。首先,你将全面了解日志:它们是什么以及如何生成。你还将学习如何阅读和分析日志。接着,你将重新审视入侵检测系统,探索如何解读签名。你将有机会通过使用名为 Sracottta 的工具进行实践操作来应用所学知识。最后,你将在 Splunk 和 Chronicle 等 SIEM 工具中搜索感兴趣的事件并访问日志数据。
事件是宝贵的数据源。它们有助于围绕警报建立上下文,从而让你能够解读系统上发生的操作。掌握如何阅读、分析并关联不同事件,将帮助你识别恶意行为并保护系统免受攻击。
我们开始吧。
034:日志的重要性 🔍
在本节课中,我们将要学习网络安全中的一个核心概念:日志。日志是记录系统、网络和设备活动的关键数据源,对于检测异常、调查安全事件至关重要。我们将了解日志是什么、它们如何生成、包含哪些信息,以及安全分析师如何利用它们。
什么是日志?📝
上一节我们提到了设备以事件的形式产生数据。作为回顾,事件是指在网络、系统或设备上发生的可观察到的活动。这些数据为我们提供了环境的可见性。
日志是安全专业人员检测异常或恶意活动的关键方式之一。日志是记录组织系统内发生事件的记录。系统活动被记录在所谓的日志文件中,通常简称为日志。
几乎每个设备或系统都能生成日志。日志包含多个条目,详细描述了特定事件或发生情况的信息。
日志的作用与重要性 🔎
在事件调查期间,日志对安全分析师非常有用,因为它们记录了网络上事件发生的内容、地点和时间。这包括诸如日期、时间、位置、执行的操作以及执行操作的用户或系统名称等详细信息。
这些细节不仅为排查与系统性能相关的问题提供了宝贵的见解,更重要的是,它们对于安全监控至关重要。日志允许分析师围绕各种事件的发生构建故事和时间线,以准确理解发生了什么。这是通过日志分析来完成的。
日志分析是检查日志以识别感兴趣事件的过程。
高效记录日志的策略 ⚙️
由于获取日志的来源不同,并且可能生成海量的日志数据,因此有选择性地记录日志有助于提高效率。
例如,Web应用程序会生成大量的日志消息,但并非所有这些数据都与调查相关。事实上,不相关的数据甚至可能拖慢调查速度。从日志记录中排除特定数据有助于减少搜索日志数据所花费的时间。
您可能还记得我们关于SIEM技术的讨论。SIEM工具为安全专业人员提供了网络活动的高级概览。SIEM工具首先从多个数据源收集数据,然后将数据聚合或集中到一个地方。最后,不同的日志格式被规范化或转换为单一的首选格式。
SIEM工具帮助实时处理来自多个数据源的大量日志。这使得安全分析师能够快速搜索日志数据并执行日志分析,以支持他们的调查。
日志的收集与来源 📥
那么,日志是如何被收集的呢?被称为日志转发器的软件会从各种来源收集日志,并自动将它们转发到集中式的日志存储库进行存储。
由于不同类型的设备和系统都可以创建日志,因此环境中存在不同的日志数据源。这些来源包括:
- 网络日志:由代理、路由器、交换机和防火墙等设备生成。
- 系统日志:由操作系统生成。
- 应用程序日志:与软件应用程序相关的日志。
- 安全日志:由IDS或IPS等安全工具生成。
- 认证日志:记录登录尝试。
日志分析实例 📄
以下是一个来自路由器的网络日志示例。这里有几个日志条目,但我们将重点关注第一行。
action: allow, source: 192.0.2.1, destination: google.com, timestamp: 2023-10-27T14:30:00Z
我们可以观察到几个字段:
- action:指定为
allow。这意味着路由器的防火墙设置允许从特定IP地址访问 google.com。 - source:列出了一个IP地址
192.0.2.1。 - destination:目标地址是
google.com。 - timestamp:时间戳
2023-10-27T14:30:00Z,这是日志中最重要的字段之一。
到目前为止,这个日志条目的信息告诉我们,来自源IP地址 192.0.2.1 到 google.com 的网络流量是被允许的。时间戳字段使我们能够识别操作发生的准确日期和时间。这对于关联多个事件以构建事件时间线非常有用。
总结 ✨
本节课中我们一起学习了日志的基础知识。我们了解到,日志是系统和网络活动的详细记录,是安全监控和事件调查的基石。通过日志分析,安全分析师可以追溯事件、构建时间线并识别潜在威胁。我们还探讨了如何通过SIEM工具和选择性记录策略来高效地管理和利用海量日志数据。接下来,我们将继续讨论日志,并探索不同的日志格式。
网络安全:第六课:拉响警报:检测与响应
概述
在本节课中,我们将跟随谷歌安全工程师丽贝卡的分享,了解学习网络安全新工具与技术时可能遇到的挑战,并学习如何克服这些困难,最终提升自己的专业能力与职业前景。
第六课:P35:丽贝卡谈学习新工具与技术
我是丽贝卡,是谷歌的一名安全工程师,专注于身份管理领域。
工作中最棒的部分可能就是像攻击者一样思考。我非常喜欢这个环节:观察如何破坏系统,审视一个系统并思考,如果我是一个坏人,我会如何侵入它。我会想要什么,我会寻找什么,我会如何找到凭证,以及如何找到有用的机器并成功进入。
我从事安全工作的第一天,我们就在学习一个新工具。整个组织都非常重视培训,他们直接让我投入其中,那是一个为期一周的学习网络分析器的培训。
当时我对网络一无所知,更不用说网络安全或这个工具将用于何处。因此我感到非常不知所措,因为我感觉自己像一个冒名顶替者,坐在本应属于别人的位置上,学习着远超我理解范围的东西。
我通过提出大量问题来推动自己前进,并放下了那种“我应该知道”的感觉,因为在那之前我从未接触过这些。我明白,要想知道,唯一的途径就是提问。
这门课程包含许多工具,涵盖大量信息,很容易让人感到不知所措。事实上,如果是我,可能也会如此。这里有太多信息需要吸收。
我认为学习这样一门课程——它是一系列课程中的一部分——就像攀登一座高山。你已经爬到了很高的地方,空气变得稀薄,是的,这很困难。你会感到不知所措,但你离山顶已经很近了。
现在,当你到达山顶时,你将看到世界壮丽的景色。完成这些课程也是如此,你的思维方式、你看待事物的角度、你的能力,以及你寻找新工作或转换职业的潜力,都将得到极大的提升。
总结
本节课中,我们一起学习了丽贝卡关于学习网络安全新工具的心得。她强调了像攻击者一样思考的重要性,并坦诚分享了初学时的困难与克服方法:勇于提问、接纳未知。她将学习过程比作登山,鼓励我们在感到困难时坚持下去,因为登顶后的视野和能力提升将带来巨大的回报。
036:日志的不同类型 📝
在本节课中,我们将要学习日志在网络安全中的核心作用,以及几种常见的日志格式。理解日志的格式和内容是安全分析师进行事件检测与响应的基础。
当你在商店购买商品时,通常会收到一张收据作为购买记录。这张收据会分解交易信息,包含诸如日期、时间、收银员姓名、商品名称、价格和支付方式等细节。但并非所有商店的收据看起来都一样。例如,汽车维修发票在列出所售商品或服务时会使用大量细节。而餐厅的收据则不太可能包含如此详尽的信息。尽管商店收据之间存在差异,但所有收据都包含与交易相关的重要细节。
日志与收据类似。收据记录购买行为,而日志则记录在网络或系统上发生的事件或活动。作为安全分析师,你将负责解读日志。日志有不同的格式,因此并非所有日志看起来都一样,但它们通常包含诸如时间戳、系统特征(如IP地址)以及事件描述(包括采取的行动和执行者)等信息。
我们知道,日志可以由许多不同的数据源生成,例如网络设备、操作系统等。这些日志源以不同的格式生成日志。有些日志格式设计为人类可读,而另一些则是机器可读。有些日志可能非常详细,包含大量信息,而有些则简短明了。接下来,让我们探讨一些常用的日志格式。
以下是几种常见的日志格式:
1. Syslog
Syslog 既是一种协议,也是一种日志格式。作为协议,它负责传输和写入日志;作为日志格式,它包含一个头部,后跟结构化数据和消息。
一个 Syslog 条目包含三个部分:头部、结构化数据和消息。
- 头部:包含时间戳、主机名、应用程序名称和消息ID等数据字段。
- 结构化数据:以键值对的形式包含额外的数据信息。例如,键
eventSource的值application指定了日志的数据源。 - 消息:包含关于事件的详细日志信息。在本例中,
“This is a log entry.”就是消息。
2. JSON (JavaScript Object Notation)
JSON 是一种基于文本的格式,设计目标是易于读写。它也使用键值对来结构化数据。
以下是一个 JSON 日志示例:
{
"alert": "malware",
"timestamp": "2023-10-27T10:00:00Z",
"sourceIP": "192.168.1.100"
}
花括号 {} 表示一个对象的开始和结束。对象是括号之间的数据,使用键值对进行组织,每个键通过冒号 : 对应一个值。例如,第一行的键是 "alert",值是 "malware"。JSON 以其简单性和易读性著称,作为安全分析师,你将使用 JSON 来读写日志等数据。
3. XML (Extensible Markup Language)
XML 是一种用于存储和传输数据的语言和格式。它不使用键值对,而是使用标签和其他键来结构化数据。
以下是一个 XML 日志条目的示例:
<logEntry>
<firstName>Alex</firstName>
<lastName>Rivera</lastName>
<employeeID>12345</employeeID>
<dateJoined>2023-01-15</dateJoined>
</logEntry>
字段如 firstName、lastName 等被包含在箭头标签 < > 中。
4. CSV (Comma-Separated Values)
CSV 是一种使用分隔符(如逗号)来分隔数据值的格式。
以下是一个 CSV 日志示例:
timestamp, alert, sourceIP, destinationIP
2023-10-27T10:00:00Z, malware, 192.168.1.100, 10.0.0.1
在这个例子中,许多不同的数据字段用逗号分隔。
现在你已经了解了日志格式的多样性,接下来可以专注于评估日志,为检测构建上下文。在后续内容中,你将探索如何使用入侵检测系统(IDS)签名来检测、记录和告警可疑活动。
在本节课中,我们一起学习了日志的核心概念及其类比,并详细介绍了四种常见的日志格式:Syslog、JSON、XML 和 CSV。理解这些格式是有效分析安全事件、从海量数据中提取关键信息的第一步。
037:使用检测工具进行安全监控 🔍
在本节课中,我们将学习安全监控的核心概念,了解不同的检测技术如何收集和分析数据以发现潜在威胁。我们将重点介绍基于主机和基于网络的入侵检测系统,以及它们的工作原理。
检测需要数据,这些数据可以来自各种数据源。你已经探索了不同设备如何生成日志。现在,我们将研究不同的检测技术如何监控设备,并记录不同类型的系统活动,例如网络遥测和端点遥测。
遥测是为分析而进行的数据收集和传输,而日志记录的是系统上发生的事件。遥测描述的是数据本身,例如,数据包捕获被视为网络遥测。对于安全专业人员而言,日志和遥测是证据来源,可用于在调查期间回答问题。
上一节我们介绍了入侵检测系统(IDS)的基本概念。接下来,本节中我们来看看它如何应用于不同的监控对象。
IDS是一种监控活动并对可能的入侵发出警报的应用程序。这包括监控系统或网络的不同部分,例如端点。
端点是连接到网络的任何设备,例如笔记本电脑、平板电脑、台式计算机或智能手机。端点是进入网络的入口点,这使其成为试图获得系统未授权访问的恶意行为者的主要目标。
为了监控端点是否存在威胁或攻击,可以使用基于主机的入侵检测系统。它是一种监控其安装所在主机活动的应用程序。需要说明的是,主机是网络上与其他设备通信的任何设备,类似于端点。基于主机的入侵检测系统作为代理安装在单个主机上,例如笔记本电脑或服务器。根据其配置,它将监控其安装所在的主机,以检测可疑活动。一旦检测到异常,它会将输出记录为日志并生成警报。
那么,如果我们想要监控整个网络呢?本节我们将探讨基于网络的入侵检测系统。
基于网络的入侵检测系统收集并分析网络流量和网络数据。它的工作原理类似于数据包嗅探器,因为它分析网络上特定点的网络流量和数据。通常会在网络的不同点部署多个IDS传感器,以实现充分的可见性。当检测到可疑或不寻常的网络活动时,基于网络的入侵检测系统会将其记录并生成警报。在此示例中,基于网络的入侵检测系统正在监控进出互联网的流量。
入侵检测系统使用不同类型的检测方法。其中最常见的方法之一是签名分析。
签名分析是一种用于发现感兴趣事件的检测方法。签名指定了一组规则,IDS在监控活动时会参考这些规则。如果活动与签名中的规则匹配,IDS会记录并发出警报。例如,可以编写一个签名,在系统上连续发生三次登录失败时生成警报,这表明可能存在密码攻击。
在生成警报之前,活动必须被记录下来。IDS技术将其监控的设备、系统和网络的信息记录为IDS日志。然后,这些IDS日志可以被发送、存储和分析在集中的日志存储库中,例如安全信息与事件管理(SIEM)系统。
在本节课中,我们一起学习了安全监控的基础知识。我们了解了遥测与日志的区别,探讨了基于主机和基于网络的入侵检测系统如何工作以保护端点和网络。我们还介绍了签名分析这一核心检测方法,它通过预定义的规则集来识别威胁。最后,我们知道了IDS生成的日志会被集中管理以便进一步分析。接下来,我们将探索如何读取和配置签名。
038:检测与响应中的安全思维
概述
在本节课中,我们将跟随谷歌检测与响应团队的格雷斯,学习什么是安全思维。安全思维是网络安全从业者的核心能力,它关乎好奇心、逻辑分析以及对全球安全事件的关注。我们将了解如何培养这种思维,并探讨其在应对网络威胁中的实际应用。
什么是安全思维?
上一节我们概述了课程内容,本节中我们来看看安全思维的具体内涵。
格雷斯在谷歌从事检测与响应工作。当人们得知她的职业是检测试图入侵谷歌的黑客时,都会觉得这很酷。保护用户数据的安全至关重要,尤其是对于那些在社会中扮演关键角色的人,例如记者和活动家。他们需要信任我们能够安全地保管他们的数据。
安全思维的核心在于好奇心。网络安全、计算机技术与创造性的逻辑输出以及对全球重大事件的兴趣,这三者之间存在美妙的交集。它要求我们思考黑客在想什么,防御者在想什么,并尝试共情,观察信息如何被获取。
有时,信息可能来自非常规的源头。
以下是格雷斯分享的一个关于从CPU获取信息的惊人例子:
- CPU能耗差异:CPU执行某些任务(例如乘法运算)比其他任务更困难,需要消耗更多能量。
- 物理特征泄露:这意味着CPU会工作得更努力,温度会升高,执行更多功能。攻击者可以利用这些物理信息来推断CPU正在处理什么。
- 信息推断:从这些物理特征出发,可以开始推导在特定时间点系统内正在发生什么。
如何培养安全思维?
了解了安全思维的概念后,我们来看看如何系统地培养这种能力。格雷斯为有兴趣发展安全思维的人提供了几条实用建议。
以下是培养安全思维的几种方法:
- 倾听故事:收听那些包含优秀黑客访谈的播客。
- 关注新闻:阅读关于全球正在发生的不同网络威胁的新闻报道。
- 参与社群:参加安全会议和线下聚会,找到可以一起学习和练习的伙伴。
- 寻求帮助:即使在论坛和聊天室中,黑客们也互相教导如何破解事物。寻求帮助并非作弊。
面对挑战的建议
在学习和实践安全思维的过程中,遇到困难是不可避免的。格雷斯对此也有一些中肯的建议。
她的另一条建议是,当你遇到阻碍时不要放弃。完成专业证书课程是一个非常好的主意,非常值得坚持到底。即使课程变得困难,你开始感到不知所措,这也没关系。面对新术语时,我可以保证,如果你稍后再回来看,你会更熟悉,也会觉得更容易。在面对这些挑战时,对自己保持温和、理解和耐心会有很大帮助。
总结
本节课中,我们一起学习了网络安全中的“安全思维”。我们了解到它融合了好奇心、逻辑分析与全球视野,是理解和应对网络威胁的基础。通过倾听案例、关注时事、参与社群以及在遇到困难时保持耐心和坚持,我们可以逐步培养并强化这种至关重要的思维方式。记住,保护系统和数据的安全始于一种积极主动的思考方式。
039:检测签名的组成部分 🔍
在本节课程中,我们将学习网络入侵检测系统(NIDS)中签名的基本构成。签名是定义检测规则的核心,理解其语法是安全分析师编写、定制和测试检测规则的基础。我们将详细拆解签名的三个主要组成部分:动作、头部和规则选项。
签名的定义与作用
作为安全分析师,您可能需要编写、定制或测试签名。为此,您将使用入侵检测系统工具。在本节中,我们将研究签名的语法。学习结束后,您将能够阅读一个签名。
签名规定了检测规则。这些规则概述了您希望入侵检测系统检测的网络入侵类型。例如,可以编写一个签名来检测并告警试图连接到某个端口的可疑流量。
签名规则的组成部分
不同网络入侵检测系统的规则语言各不相同。术语“网络入侵检测系统”常缩写为NIDS。通常,NIDS规则由三个部分组成:一个动作、一个头部和规则选项。
现在,让我们更详细地检查这三个组成部分。
动作
通常,动作是签名中指定的第一项。它决定了当满足规则匹配条件时要采取的行动。
不同NIDS规则语言中的动作可能不同,但一些常见的动作包括:alert(告警)、pass(放行)或reject(拒绝)。
使用我们的例子,如果一条规则规定要对建立异常端口连接的可疑网络流量发出告警,那么入侵检测系统将检查流量数据包并发出告警。
头部
头部定义了签名的网络流量特征。它包括诸如源IP地址和目标IP地址、源端口和目标端口、协议以及流量方向等信息。
如果我们想要检测并告警连接到端口的可疑流量,我们必须首先在头部定义可疑流量的来源。可疑流量可能源自本地网络之外的IP地址。它也可能使用特定或不寻常的协议。我们可以在头部指定这些外部IP地址和协议。
以下是一个基本规则中头部信息可能呈现的示例:
tcp 10.120.170.17 any -> 133.113.202.181 80
首先,我们可以观察到协议tcp是签名中列出的第一项。接下来,指定了源IP地址10.120.170.17,源端口号为any(任何)。签名中间的箭头表示网络流量的方向。因此我们知道它源自源IP 10.120.170.17 的任意端口,流向目标IP地址 133.113.202.181 的目标端口 80。
规则选项
规则选项允许您使用附加参数自定义签名。有许多不同的选项可供使用。例如,您可以设置选项来匹配网络数据包的内容,以检测恶意负载。
恶意负载驻留在数据包的数据部分,并执行删除或加密数据等恶意活动。配置规则选项有助于缩小网络流量范围,从而精确找到您要查找的内容。
典型的规则选项由分号分隔,并括在括号内。在此示例中,我们可以检查到规则选项被括在一对括号中,并且也用分号分隔。
(msg:"This is a message"; sid:100001; rev:1;)
第一个规则选项 msg(代表“消息”)提供告警文本。在本例中,告警将打印出文本“This is a message”。还有选项 sid,代表签名ID。这为每个签名附加一个唯一ID。rev 选项代表修订版本。每次签名更新或更改时,修订号都会更改。这里的数字 1 表示它是该签名的第一个版本。
总结与展望
很好,现在您已经在成为安全分析师的旅程中掌握了另一项技能:如何阅读签名。还有更多知识需要学习。接下来,我们将讨论使用签名的工具。
本节课中,我们一起学习了网络入侵检测系统签名的核心结构。我们了解到一个完整的签名主要由动作、头部和规则选项三部分组成。动作决定匹配后的行为,头部定义流量特征,而规则选项则提供了丰富的参数用于精确匹配和自定义告警信息。理解这些组成部分是有效利用IDS进行威胁检测的基础。
040:使用Suricata检查签名 🔍
在本节中,我们将学习如何使用开源的基于签名的入侵检测系统(IDS)——Suricata,来具体检查和分析一个预写的签名规则。我们将了解签名的结构、各个组成部分的含义,以及如何解读其检测逻辑。
概述
之前,我们学习了基于签名的分析方法,也了解了如何阅读网络入侵检测系统(NIDS)中使用的签名。本节我们将通过实际操作,使用Suricata来检查一个具体的签名,从而加深对签名规则工作原理的理解。
检查Suricata签名
许多入侵检测技术都附带预写的签名。你可以将这些签名视为可自定义的模板,类似于文字处理器中提供的不同模板。这些签名模板为你编写和定义自己的规则提供了一个起点。当然,你也可以编写并添加自己的规则。
现在,让我们通过Suricata来检查一个预写的签名。
在这台运行Ubuntu的Linux机器上,Suricata已经安装完毕。首先,我们通过改变目录到 /etc 目录下的 suricata 目录来查看它的一些文件。这里是Suricata所有配置文件的存放位置。
cd /etc/suricata
接下来,我们使用 ls 命令列出Suricata目录的内容。
ls
目录中有几个不同的文件,但我们将重点关注 rules 文件夹。预写的签名就存放在这里,你也可以在此添加自定义签名。
我们使用 cd 命令,后跟文件夹名称,来导航到该文件夹。
cd rules
使用 ls 命令,我们可以观察到该文件夹包含了一些针对不同协议和服务的规则模板。
ls
让我们使用 less 命令来检查 custom-do.rules 文件。快速回顾一下,less 命令会一次一页地返回文件内容,这使得前后浏览内容变得很容易。
less custom-do.rules
我们将使用方向键向上滚动。以井号(#)开头的行是注释,旨在为阅读者提供上下文,Suricata会忽略这些行。
第一行写着:“custom rules example for HTTP connection”。这告诉我们,此文件包含针对HTTP连接的自定义规则。
我们可以观察到其中有一个签名。签名的第一个词指定了其动作。对于这个签名,动作为 alert。这意味着当满足所有条件时,该签名会生成警报。
签名的下一部分是头部。它指定了协议 http、源IP地址 $HOME_NET、源端口定义为 any。
箭头(->)指示了流量的方向:来自家庭网络($HOME_NET),去往目的IP地址 $EXTERNAL_NET 和任何目的端口(any)。
到目前为止,我们知道这个签名在检测到任何离开家庭网络、前往外部网络的HTTP流量时会触发警报。
让我们检查签名的其余部分,以确定是否存在签名需要寻找的额外条件。
签名的最后一部分包括规则选项。它们被括在括号内,并用分号分隔。这里列出了许多选项,但我们将重点关注 msg、flow 和 content 选项。
msg选项将在警报触发时显示消息 “GET on wire”。flow选项用于匹配网络流量的方向。这里它是established,这意味着连接已成功建立。content选项检查数据包的内容。在引号之间,指定了文本 “GET”。GET是一种HTTP请求方法,用于从服务器检索和请求数据。这意味着,如果一个网络数据包包含文本“GET”(表示一个请求),该签名就会匹配。
综上所述,这个签名会在Suricata观察到来自家庭网络、前往外部网络的HTTP连接中出现文本“GET”时发出警报。
每个环境都是不同的。为了使入侵检测系统(IDS)有效,必须对签名进行测试和定制。作为安全分析师,你可能会测试、修改或创建IDS签名,以提高环境中威胁的检测能力,并减少误报的可能性。
接下来,我们将研究Suricata如何记录事件。我们稍后见。
总结
在本节中,我们一起深入学习了如何使用Suricata检查签名。我们了解了签名文件的结构,包括动作、头部和规则选项等关键部分,并解析了一个具体HTTP GET请求检测签名的逻辑。理解如何阅读和解释这些规则,是有效配置和管理基于签名的入侵检测系统的基础。
谷歌网络安全专业证书第六课:拉响警报:检测与响应:P41:检查Suricata日志 🕵️♂️
在本节中,我们将学习如何检查由Suricata生成的日志。Suricata是一种网络安全监控工具,它会输出两种主要类型的日志数据:警报日志和网络遥测日志。理解这些日志的格式和内容对于进行有效的安全调查至关重要。
日志格式:Eve JSON
首先,我们来了解一下Suricata输出日志的格式。Suricata的警报和事件以一种称为 Eve JSON 的格式输出。
- Eve 代表“可扩展事件格式”。
- JSON 代表“JavaScript对象表示法”。
正如之前所学,JSON使用 键值对 来组织数据。这种结构简化了从日志文件中搜索和提取文本的过程。
{
"key1": "value1",
"key2": "value2"
}
日志类型
Suricata主要生成两种类型的日志数据。上一节我们介绍了日志的通用格式,本节中我们来看看这两种具体类型及其用途。
以下是两种主要的日志类型:
- 警报日志:此类日志包含与安全调查相关的信息。通常是触发警报的签名(规则)的输出。例如,一个检测到网络中可疑流量的签名会生成一个警报日志,捕获该流量的详细信息。
- 网络遥测日志:此类日志包含关于网络流量流的信息。网络遥测信息并不总是与安全直接相关,它只是记录网络上发生的事件,例如连接到特定端口。
这两种日志类型都能在调查过程中为构建事件脉络提供信息。
日志示例分析
现在,让我们通过具体示例来深入理解这两种日志。以下是每种日志的一个例子。
1. 警报日志示例
{
“event_type”: “alert”,
“src_ip”: “192.168.1.100”,
“dest_ip”: “10.0.0.5”,
“proto”: “TCP”,
“alert”: {
“signature_id”: 20001234,
“message”: “ET MALWARE Windows Executable Download”
}
}
我们可以通过 event_type 字段值为 alert 来判断这是一个警报事件。日志中还记录了活动的详细信息,包括源IP地址(src_ip)、目的IP地址(dest_ip)和协议(proto)。此外,还有关于签名本身的细节,例如签名消息(message)和ID(signature_id)。从签名消息看,此警报与检测到恶意软件下载有关。
2. 网络遥测日志示例
{
“event_type”: “http”,
“hostname”: “www.example.com”,
“http”: {
“hostname”: “www.example.com”,
“url”: “/index.html”,
“http_user_agent”: “Mozilla/5.0”,
“http_content_type”: “text/html”
}
}
这个示例展示了一个网络遥测日志,它记录了对一个网站的HTTP请求详情。event_type 字段告诉我们这是一个HTTP日志。请求的详细信息包括:访问的网站(hostname)、用户代理(http_user_agent,即连接至网站的软件名称,本例中是网页浏览器Mozilla 5.0)以及内容类型(http_content_type,即HTTP请求返回的数据类型,此处指定为HTML文本)。
总结
本节课中,我们一起学习了如何检查Suricata日志。我们首先认识了Suricata使用的 Eve JSON 日志格式,然后区分了 警报日志 和 网络遥测日志 这两种类型,并通过具体示例分析了它们各自包含的关键信息。掌握这些日志的解读方法是进行网络安全监控和事件响应的基础技能。在接下来的实践活动中,你将有机会亲手操作Suricata,应用本节所学的知识。祝你学习愉快!
网络安全基础:第六课:重新审视SIEM工具 🛠️
在本节课中,我们将学习安全信息与事件管理工具的核心概念与工作流程。SIEM工具是安全分析师进行日常监控、告警分析和事件调查的关键平台。
作为安全分析师,你需要能够快速访问履行职责所需的相关数据。无论是处理告警、监控系统,还是在事件调查中分析日志数据,SIEM都是完成这项工作的工具。
简单回顾一下,SIEM是一个通过收集和分析日志数据来监控组织关键活动的应用程序。它通过从多个来源收集、分析和报告安全数据来实现这一功能。
之前,你已经了解了SIEM进行数据收集的过程。现在,让我们重新审视这个过程。
SIEM数据处理流程
以下是SIEM工具处理数据以使其可用的三个主要步骤:
- 收集:SIEM工具首先从环境中各处的设备和系统收集并处理海量数据。
- 规范化:原始数据经过处理,被格式化为一致的样式,并且只包含相关的事件信息。其核心目的是解决数据格式不统一的问题,公式可表示为:
规范化数据 = 统一格式(原始多格式数据) - 索引:最后,SIEM工具为数据建立索引,以便通过搜索进行访问。
完成这些步骤后,所有不同来源的所有事件都可以通过你的指尖轻松访问。这非常有用,SIEM工具让安全分析师能够轻松快速地访问和分析环境中网络上的数据流。
在实际工作中,你可能会遇到不同的SIEM工具。重要的是,你能够调整并适应你所在组织最终使用的任何工具。
考虑到这一点,让我们来探索一些当前安全行业中常用的SIEM工具。
主流SIEM工具简介
以下是几个常见的SIEM平台及其基本工作方式:
- Splunk:Splunk是一个数据分析平台。其企业安全版本提供SIEM解决方案,允许你搜索、分析和可视化安全数据。其流程可概括为:
收集数据 -> 处理并存储到索引 -> 通过搜索等方式访问。 - Chronicle:Chronicle是谷歌云的SIEM解决方案,用于存储安全数据以进行搜索、分析和可视化。其工作流程是:
数据转发至Chronicle -> 数据被规范化或清理 -> 数据被处理并建立索引 -> 通过搜索栏访问可用数据。
上一节我们介绍了SIEM工具的基本原理和常见平台,本节中我们来看看如何在这些平台上进行有效搜索。接下来,我们将探索如何在这些SIEM平台上进行搜索。
总结
本节课中,我们一起学习了SIEM工具的核心价值与数据处理流程。我们了解到SIEM通过收集、规范化和索引三个步骤,将原始的、格式各异的海量日志数据转化为安全分析师可快速搜索和分析的统一格式。我们还简要认识了Splunk和Chronicle这两个主流SIEM平台的基本架构。掌握这些基础知识是有效使用任何SIEM工具进行安全监控与分析的前提。
043:使用Splunk查询事件 🔍
在本节课中,我们将要学习如何在安全信息和事件管理(SIEM)系统中进行搜索和查询,特别是使用Splunk的搜索处理语言(SPL)来定位和分析安全事件。我们将了解如何构建有效的查询以快速获取所需数据。
概述:SIEM中的搜索挑战
上一节我们介绍了SIEM的工作原理,本节中我们来看看如何搜索和查询已导入SIEM数据库的事件。通过向SIEM的搜索引擎输入查询,可以访问这些数据。
SIEM数据库中可以存储海量数据,其中一些数据可能追溯到多年前。这使得搜索特定安全事件变得具有挑战性。
构建有效的查询
例如,假设您要搜索一个失败的登录事件。您使用关键词“failed login”进行搜索。这是一个非常宽泛的查询,可能会返回数千条结果。像这样宽泛的搜索查询会降低搜索引擎的响应速度,因为它需要在所有索引数据中进行搜索。
但是,如果您指定额外的参数,例如事件ID以及日期和时间范围,就可以缩小搜索范围以获得更快的结果。确保搜索查询具有针对性非常重要,这样您才能准确找到所需内容,并节省搜索过程的时间。
Splunk搜索处理语言(SPL)
不同的SIEM工具使用不同的搜索方法。例如,Splunk使用其专有的查询语言,称为搜索处理语言,简称SPL。
SPL提供许多不同的搜索选项,可用于优化搜索结果,从而获取您正在寻找的数据。
执行原始日志搜索
现在,我将演示在Splunk Cloud中为一个名为Buttercup Games的虚构在线商店,执行一次针对引用错误或失败事件的原始日志搜索。
首先,我们使用搜索栏输入查询:Buttercup Games error OR fail*。
这个搜索指定了索引为“Buttercup Games”。我们还指定了搜索词“error”或“fail”。布尔运算符“OR”确保两个关键词都会被搜索。
术语“fail*”末尾的星号被称为通配符。这意味着它将搜索所有包含“fail”的可能结尾。这有助于我们扩展搜索结果,因为事件可能以不同方式标记失败。例如,有些事件可能使用术语“failed”。
优化搜索范围
接下来,我们使用时间范围选择器选择一个时间范围。请记住,我们的搜索越具体越好。让我们搜索过去30天的数据。
在搜索栏下方,是我们的搜索结果。有一个时间线,以可视化形式展示了一段时间内的事件数量。这有助于识别事件模式,例如活动高峰。
在时间线下方是事件查看器,它列出了与我们搜索匹配的事件列表。请注意,我们的搜索词“Buttercup Games”和“error”在每个事件中都被高亮显示。看起来没有找到任何与“fail”一词匹配的事件。
分析搜索结果
每个事件都带有时间戳和包含错误的原始日志数据。似乎存在与Buttercup Games网站中使用的HTTP Cookie相关的错误。
在原始日志数据的底部,有一些与数据源相关的信息,包括主机名、源和源类型。这些信息告诉我们事件数据源自何处,例如某个设备或文件。
精炼搜索结果
如果我们点击它,可以选择将其从搜索结果中排除。
在搜索栏上,我们可以检查到搜索词已被更改,并添加了“host!=www1”,这意味着不包含www1主机。请注意,新的搜索结果不包含www1作为主机,但包含www2和www3。
这只是您可以用来定位搜索以检索所需信息的众多方法之一。这种搜索被称为原始日志搜索,由于它在搜索过程中提取日志数据字段,因此搜索性能较慢。
总结与展望
作为一名安全分析师,您将使用不同的命令来优化搜索性能,以获得更快的搜索结果。
至此,关于Splunk的查询就完成了。您已经了解了有效查询的重要性以及如何执行基本的Splunk搜索。
接下来,您将学习如何在Chronicle中查询事件。
本节课中我们一起学习了如何在Splunk中构建和执行查询,通过使用特定的索引、关键词、布尔运算符、通配符和时间范围来精炼搜索,从而高效地从海量安全事件数据中定位所需信息。掌握这些技能对于快速进行安全事件检测和响应至关重要。
044:使用Chronicle查询事件 🔍
在本节中,我们将学习如何使用Chronicle平台来搜索和筛选日志数据。Chronicle是一个强大的工具,它允许安全分析师通过查询来检测潜在的安全事件。我们将重点介绍其搜索功能,特别是如何使用统一数据模型(UDM)搜索和原始日志搜索来定位特定事件。
概述:Chronicle的搜索功能
Chronicle允许你搜索和筛选日志数据。它使用名为YARA-L的计算机语言来定义检测规则,这些规则用于在已摄入的日志数据中进行搜索。例如,你可以使用YARA-L编写规则来检测与窃取有价值数据相关的特定活动。
通过Chronicle的搜索字段,你可以根据主机名、域名、IP地址、URL、电子邮件、用户名或文件哈希等字段进行查询。
搜索方法:UDM搜索与原始日志搜索
使用搜索字段时,你可以输入不同类型的搜索。默认的搜索方法是UDM搜索,它代表统一数据模型。这种搜索会遍历经过规范化的数据。
如果你在规范化数据中找不到所需信息,可以选择搜索原始日志。原始日志搜索会遍历那些尚未被规范化的日志。
从我们之前关于SIEM流程的讨论中,你可能还记得,原始日志会在规范化步骤中被处理。在规范化过程中,原始日志中的所有相关信息会被提取并格式化,使数据更易于搜索。我们可能需要搜索原始日志的原因包括:查找可能未包含在规范化日志中的数据(例如某些未被规范化的特定字段),或者排查数据摄入问题。
实践:执行一次UDM搜索
现在,让我们来检查一个使用Chronicle进行的、针对登录失败的UDM搜索示例。
首先,点击结构化查询构建器图标,以便执行UDM搜索。我将输入以下搜索内容:
metadata.event_type = “USER_LOGIN” AND security_result.action = “BLOCK”
让我们分解一下这个UDM搜索。由于我们正在搜索规范化数据,因此需要指定一个使用UDM格式的搜索。UDM事件具有一组通用字段。
metadata.event_type字段详细说明了事件类型。在这里,我们要求Chronicle查找一个认证活动事件,即“用户登录”。AND是一个逻辑运算符,它告诉搜索引擎要同时包含这两个条件。security_result.action字段指定了一个安全操作,例如“允许”或“阻止”。在这里,操作是“阻止”。这意味着用户登录被阻止或失败了。
现在,我们按下查询按钮。我们将专注于搜索规范化数据。
解读搜索结果
屏幕上会呈现搜索结果。这里有很多信息。
在“UDM搜索”下,我们可以看到我们的搜索词。还有一个条形图时间线,可视化显示了一段时间内的失败登录事件。快速浏览一下,这能让我们了解失败登录活动随时间的变化情况,帮助我们发现可能的模式。
在时间线下方,有一个与此搜索关联的、带时间戳的事件列表。在每个事件下,都有一个“资产”,即设备名称。例如,这个事件显示了一个名为“Alice”的用户的登录失败记录。
如果我们点击该事件,可以打开与该事件关联的原始日志。在调查过程中,我们可以解读这些原始日志,以获取有关事件活动的更多细节。
使用快速筛选器
在左侧,有“快速筛选器”。这些是我们可以用来筛选搜索结果的其他字段或值。例如,如果我们点击 target.ip,会得到一个IP地址列表。如果我们点击其中一个IP地址,就可以将搜索结果筛选为仅包含此目标IP地址的事件。这帮助我们找到正在寻找的特定数据,并在此过程中节省时间。
总结
干得漂亮。现在,你知道了如何使用Chronicle执行搜索。在接下来的实践活动中,你将有机会使用我们刚刚讨论过的SIEM工具来执行搜索。😊
045:总结
在本节课中,我们将回顾并总结《拉响警报:检测与响应》这一章节的核心学习内容。我们重点探讨了日志分析、入侵检测系统以及安全信息与事件管理工具的使用。
章节回顾
上一节我们介绍了在SIEM工具中进行高级搜索的技巧,本节中我们来整体回顾本模块的知识体系。
你学习了如何阅读和分析日志。
你研究了日志文件的生成方式及其在分析中的应用。
你还比较了不同类型的常见日志格式,并学会了如何解读它们。
通过对比基于网络的系统和基于主机的系统,你深化了对入侵检测系统的理解。
你还学会了如何解读特征码。你研究了特征码的编写方式,以及它们如何检测、记录和告警入侵行为。
你在命令行中与Suricata交互,以检查和解读特征码及警报。
最后,你学习了如何在Splunk和Chronicle等SIEM工具中进行搜索。
你了解了构建针对性查询以定位安全事件的重要性。
核心技能与价值
在事件响应的最前沿,监控和分析网络流量以寻找入侵指标是主要目标之一。
作为一名安全分析师,你将运用以下所有技能:执行深入的日志分析、了解如何阅读和编写特征码,以及如何访问日志数据。
总结
本节课中我们一起学习了网络安全检测与响应的基础。从日志分析到入侵检测,再到使用SIEM工具进行高效查询,这些技能构成了主动防御和安全监控的基石。掌握这些内容,为你后续应对真实安全事件打下了坚实的基础。
046:课程总结
在本节课中,我们将回顾《拉响警报:检测与响应》课程的核心内容。我们一起学习了事件响应生命周期、网络流量分析、日志解读以及安全分析师日常使用的关键工具。
课程回顾
上一节我们介绍了各种安全工具的使用,本节中我们来整体回顾本课程的知识体系。
以下是本课程涵盖的主要模块:
- 事件响应生命周期概述:学习了安全团队如何协调响应工作,并探索了事件响应中使用的文档、检测和管理工具。
- 网络流量监控与分析:学习了使用数据包嗅探器捕获和分析数据包。练习了使用如
tcpdump等工具捕获和分析网络数据,以识别入侵指标。 - 事件响应流程与程序:探索了事件响应生命周期各阶段涉及的流程与程序。学习了与事件检测和分析相关的技术。了解了如监管链、行动手册和最终报告等文档。课程最后探讨了用于恢复和事后活动的策略。
- 日志与警报解读:探索了在命令行中使用
Suricata来阅读和理解签名与规则。使用了如Splunk和Chronicle等SIEM工具来搜索事件和日志。
总结与展望
本节课中我们一起学习了事件检测与响应的核心流程和实用工具。作为安全分析师,每天都会面临新的挑战,无论是调查证据还是记录工作,你都可以运用在本课程中学到的知识来有效地响应事件。
安全领域最吸引人的一点在于总有新知识需要学习。在接下来的学习中,你将开始探索一种名为 Python 的编程语言,它可以用于自动化安全任务。
请继续保持出色的学习状态。
047:课程介绍 🚨
在本节课中,我们将学习网络安全事件检测与响应的核心概念,了解安全分析师在应对安全事件中的职责,并预览本课程将涵盖的主要技能与工具。
安全攻击正在增加,新的漏洞每周都会被利用和发现。
无论一个组织对安全攻击的准备多么充分,在某些时候,总会出现问题。无论是数据泄露、勒索软件,还是员工犯下的简单错误,安全事件总会发生。
而有效响应这些安全事件,正是像您这样的安全专业人士的职责。
大家好,欢迎来到本课程。我是Dave,是Google Cloud的首席安全战略师。我拥有20年作为安全从业者和领导者的经验。在过去的八年里,我曾在Fortinet、Splunk和Google等行业领先的安全供应商工作,并在此过程中专攻安全分析领域。
我热衷于帮助分析师们掌握在其职业生涯中取得成功所必需的技能。非常高兴您能来到这里。到目前为止,您已经做得非常出色,学习了许多关于安全概念、最佳实践和安全攻击类型的知识。
现在,在本课程中,我们将重点关注事件的检测、分析与响应。
您将有机会使用诸如 TCPdump、Wireshark、Suricata、Splunk 和 Chronicle 等工具来应用所学知识。在本课程结束时,您将对事件响应有深入的理解。
首先,您将学习事件响应生命周期以及事件响应团队如何协同工作。
您还将了解检测和响应中使用的工具类型,包括文档工具。您还将获得自己的事件处理者日志,用于在调查过程中记录信息。
接下来,您将应用您在网络和Linux方面的知识,使用像 Wireshark 和 TCPdump 这样的数据包嗅探器来监控和分析网络流量,捕获并分析数据包以寻找潜在的安全事件迹象。
然后,您将熟悉事件检测和响应过程中常用的流程与程序。
您将学习如何使用调查工具分析和验证事件,并生成相关文档。
最后,您将学习如何解读日志和警报。
您将了解检测工具如何生成日志,以及这些日志如何在安全信息与事件管理工具中被分析。
准备好了吗?让我们开始吧。
在本节课中,我们一起学习了网络安全事件的普遍性、安全分析师的核心职责,以及本课程将引导我们掌握的从事件生命周期理解到具体工具实操的完整知识体系。接下来,我们将深入探讨事件响应的具体阶段。
048:1_04 导师助力你的网络安全职业发展
在本节课中,我们将跟随谷歌云的首席安全战略师Dave,了解他如何从一名普通大学生成长为网络安全专家,并学习如何通过导师的帮助来规划和发展自己的网络安全职业生涯。
我的名字是Dave。我是谷歌云的首席安全战略师。
我的工作是直接与安全从业者合作,帮助他们保护其所在组织。
我热爱这份工作的多样性。某一天我可能在为客户排查技术问题。
第二天我可能在为某个特定问题编写代码解决方案。每天都有新事物。
我从不感到厌倦。我是在美国中西部长大的孩子。
我上大学学习工程学。我曾以为我喜欢,但我意识到我并不真正热爱工程学。
但我爱上了计算机科学,而我当时甚至不知道这是一个可选专业。
大学早期,我最终找到了一份帮助台人员的工作。
但后来我得到了一份系统管理员的工作。我发现自己在一家支付行业的初创公司工作。
我的工作从一名普通的IT人员转变为一名网络安全人员。
我在那个职位上工作了七年,从一人安全团队到后期管理一个中等规模的安全组织,什么都做过。
之后我转到了桌子的另一边,开始为安全供应商工作。
这给了我机会亲眼目睹数百家其他组织如何运行他们的安全项目,这确实令人大开眼界。网络安全的有趣之处在于,你真的可以将全部人生经验带入网络安全领域。
你所做的是试图保护一个组织,不一定是为了防止意外。
而是保护组织免受另一端的、试图伤害你组织的人的侵害。
越来越清楚的一点是,拥有不同背景和经历的人通常能为我们应对威胁的方式带来巨大改进。
我强烈建议参与安全组织。
这是一个结识其他能在你职业道路上提供帮助的人的地方。
我认为人们会惊讶地发现,在我们这个行业可以获得多少帮助。
有许多更资深、更有成就的人愿意成为导师。我认为,作为寻找导师的人,你能做的最好的事情就是积极主动并制定计划。
所以,要事先想好几件你想努力提升的事情。
然后联系某个在网络安全特定领域工作的人。
向他们寻求帮助。我想你会惊讶于人们是多么乐于助人。
本节课中我们一起学习了Dave的职业发展路径,了解了网络安全工作的多样性和挑战性,并掌握了寻求导师帮助、规划职业发展的关键方法:积极主动、明确目标、主动联系。记住,网络安全领域乐于助人,大胆迈出寻求指导的第一步是职业成长的重要环节。
谷歌网络安全专业证书第六课:1:欢迎来到第一周 🚀
在本节课中,我们将开始学习《检测与响应》模块。我们将回顾NIST网络安全框架,重点关注事件响应生命周期,并介绍事件响应团队的角色与工具。
欢迎。在我的首席安全策略师角色中,我见证了本课程将教授的事件响应操作如何在组织中实施。
检测和响应事件最令人兴奋的一点,是运用数据来理解攻击者在组织环境中行为的挑战。
没有两次调查是完全相同的。但随着分析技能的磨练,你可以学会识别特定的行为模式。
上一阶段,我们建立了对资产安全、威胁和漏洞的扎实理解。我们探讨了将NIST网络安全框架作为风险管理的方法论。我们学习了通过资产分类与保护来降低组织风险,并探索了保护数据的安全与隐私控制措施。我们使用了如MITRE和CVE等工具来调查常见漏洞,并运用威胁建模等技术来培养攻击者思维。
接下来,我们将重新审视NIST网络安全框架,重点关注事件响应生命周期。你将获得自己的事件处理者日志,并将在后续课程中持续使用它。
我们还将介绍事件响应团队,包括不同的团队角色以及他们如何组织起来响应事件。
最后,你将了解作为一名从事事件响应工作的安全专业人员,将使用的各种文档、检测和管理工具类型。
在后续课程中,你将有机会使用这些工具。
你准备好开始检测与响应的旅程了吗?让我们开始吧。
总结:本节课我们一起开启了《检测与响应》模块的学习,概述了本模块的核心内容:重温NIST框架的事件响应部分、使用事件处理者日志、认识事件响应团队以及了解相关工具。这为后续深入实践打下了基础。
050:事件响应生命周期简介
在本节课中,我们将学习事件响应生命周期框架,理解安全事件与一般事件的区别,并了解如何记录事件调查的关键信息。
概述:事件响应框架的重要性
事件生命周期框架为支持事件响应操作提供了结构。框架帮助组织为其事件响应流程开发标准化的方法,以便以有效且一致的方式管理事件。组织可以根据自身需求采用和修改多种不同类型的框架。在本课程中,我们将重点介绍NIST网络安全框架(CSF),然后对其进行扩展,并讨论NIST事件响应生命周期的各个阶段。
NIST网络安全框架(CSF)回顾
回顾一下,NIST CSF的五个核心功能是:识别、保护、检测、响应和恢复。本课程将探讨该框架的最后三个步骤:检测、响应和恢复。这三个步骤是事件响应过程中的关键阶段。作为一名分析师,你将检测和响应事件,并实施恢复行动。
NIST事件响应生命周期
NIST事件响应生命周期是另一个专门用于事件响应的NIST框架,它包含额外的子步骤。它始于准备阶段,接着是检测与分析,然后是遏制、根除和恢复,最后是事后活动。
需要指出的一点是,事件生命周期不是一个线性过程,而是一个循环。这意味着随着新发现的产生,步骤可能会重叠。这个生命周期为我们如何有效响应事件提供了一个蓝图。
理解安全事件
但在我们深入探讨事件检测与响应之前,让我们花些时间来理解什么是事件。根据NIST的定义,事件是指实际上或即将在未经合法授权的情况下,危及信息或信息系统的机密性、完整性或可用性的发生,或构成对法律、安全策略、安全程序或可接受使用策略的违反或即将发生的威胁。
这包含了很多信息,让我们来分解一下。理解所有安全事件都是事件,但并非所有事件都是安全事件,这一点很重要。
什么是事件?
事件是网络、系统或设备上可观察到的发生。以下是一个事件的例子:用户尝试登录其电子邮件账户,但因为忘记密码而无法登录。用户随后请求重置密码并成功更改了密码。这是一个可观察到的事件。为什么?因为系统和应用程序会记录密码重置请求,日志提供了某事发生的证据。我们知道有人成功请求了密码重置,并且他们没有违反安全策略来访问账户。
现在,想象一下,如果不是账户的合法所有者,而是一个恶意行为者试图访问账户,并成功发起了密码更改请求,更改了账户密码。这将被视为一个事件,同时也是一个安全事件。它是一个事件,因为它是可观察到的发生。它也是一个安全事件,因为恶意行为者违反了安全策略,非法访问了一个本不属于他们的账户。
记住,所有安全事件都是事件,但并非所有事件都是安全事件。
事件调查与记录
就像侦探处理案件时仔细处理和记录证据与发现一样,安全分析师在调查安全事件时也需要这样做。事件调查揭示了关于事件“五个W”的关键信息:谁触发了事件、发生了什么、事件何时发生、事件在何处发生,以及事件为何发生。
跟踪这些信息至关重要,不仅在事件调查期间,而且在调查结束撰写最终报告时也是如此。作为一名分析师,你需要一种方法来记录和引用这些信息,以便在需要时轻松访问。一个很好的方法是使用事件处理者日志,这是事件响应中使用的一种文档形式。
在本课程中,你将使用自己的事件处理者日志来记录任何事件细节。我们将在接下来的课程中进一步讨论文档记录。
总结
本节课中,我们一起学习了事件响应生命周期框架,区分了安全事件与一般事件,并了解了使用事件处理者日志记录关键调查信息的重要性。这些是构建有效事件响应能力的基础。
051:事件响应团队
在本节中,我们将讨论事件响应团队如何管理安全事件。
你可能曾经是某个团队的一员,无论是体育团队、工作团队还是学校团队。当每个人都运用其多样化的优势为一个共同目标努力时,团队最有可能成功。
事件响应团队也不例外。成功应对安全事件并非孤立发生,它需要一个由安全与非安全专业人员组成的团队,各司其职,共同协作。
计算机安全事件响应团队(CSIRT)是一组专门从事事件管理与响应的安全专业人员。CSIRT的目标是有效且高效地管理事件,为响应和恢复提供服务与资源,并防止未来事件发生。
安全是共同的责任,因此CSIRT必须与其他部门跨职能合作,共享相关信息。例如,如果一个事件导致敏感数据(如财务文件或个人身份信息)泄露,那么必须咨询法律团队。某些法规遵从性措施可能要求组织在特定时间范围内公开披露安全事件。这意味着CSIRT必须与组织的公共关系团队协作,协调公开披露工作。
那么CSIRT具体如何运作?首先是安全分析师。分析师的工作是调查安全警报,以确定是否发生了事件。如果检测到事件,分析师将确定事件的严重性等级。一些事件可以由安全分析师轻松补救,无需升级。但如果事件高度严重,则会升级给技术负责人,技术负责人通过指导安全事件完成其生命周期来提供技术领导。
在此期间,事件协调员跟踪和管理CSIRT及其他参与响应工作的团队的活动。他们的职责是确保遵循事件响应流程,并定期向团队更新事件状态。
并非所有CSIRT都相同。根据组织的不同,CSIRT也可以被称为事件处理团队(IHT)或安全事件响应团队(SIRT)。
根据组织的结构,一些团队可能具有更广泛或更专业的侧重点。例如,一些团队可能专门负责危机管理,而另一些团队可能与安全运营中心(SOC)整合。
角色也可能有不同的名称。例如,技术负责人也可以被称为运营负责人。无论团队的名称或侧重点如何,它们都拥有共同的目标:事件管理与响应。
现在你已经对事件响应团队有了一些了解,我们将继续学习事件响应团队如何计划、组织和响应事件。我们将在下一个视频中再见。
052:事件响应中的沟通艺术
在本节课中,我们将学习事件响应过程中沟通的重要性。我们将了解一个高效团队如何通过清晰、持续的沟通来协同工作,以应对网络安全威胁。
上一节我们介绍了事件响应的基本概念,本节中我们来看看沟通在其中扮演的关键角色。
我的名字是法蒂玛,我是谷歌检测与响应团队的技术主管经理。如果网络中存在黑客,我们的工作就是找到他们。
从事检测工作就像一位艺术家为演出做准备。我们花费大量时间开发各种特征签名来检测黑客。然后有一天,演出时刻到了。你会感受到同样的紧张感,并质疑自己是否已为演出做好准备。但你其实别无选择。黑客总会到来,你必须为他们做好准备。
我认为网络安全非常令人兴奋。你永远不知道下一个漏洞何时会被公开,也永远不知道下一次事件何时会发生。
一个典型的事件案例是2021年发生的Log4j漏洞。整个公司团结起来,调查我们是否受到此漏洞的影响。确定这一点正是我团队的工作。我们每秒要处理数百万、数亿行的日志数据。在获取这些日志后,我们需要在其中进行搜寻和深度分析。
以下是处理此类事件的核心步骤:
- 创建不同的特征签名,与这些日志进行匹配,以寻找入侵迹象。
- 通过分析,我们能够宣布:一切正常,我们未受此漏洞影响,我们是安全的。
- 这些时刻就是高光时刻,是所有努力汇聚成果的时刻。
在事件响应场景中,团队合作是关键。你无法在没有一个真正坚实、协作默契、彼此高度信任的团队的情况下运行事件响应。
保持清晰有效沟通的方法是进行大量沟通。在事件处理期间,这听起来可能有点违反直觉,但资深的工程师们会转变为运营负责人。他们的职责是确保其职能范围内的沟通不会中断。
因此,我们的角色从高度技术性转变为专注于沟通、汇总数据,并将数据呈现给需要了解的相关人员。
我强烈推荐网络安全作为一个职业领域,因为攻击者非常有创造力,他们不会让你感到无聊。因此,我们在寻找他们的方式上也必须富有创造力。作为一个喜欢学习的人,知道总有新事物等待我去学习和精通,这令人兴奋,也让我保持动力。
本节课中我们一起学习了事件响应中沟通的核心价值。我们了解到,一个成功的响应不仅依赖于技术能力,更依赖于团队间清晰、持续的沟通与协作。从技术专家到沟通协调者的角色转变,是高效管理安全事件的关键。网络安全领域充满挑战与学习机会,正是这种动态特性使其成为一个令人兴奋的职业方向。
053:事件响应计划
在本节课中,我们将要学习事件响应团队如何利用事件响应计划来应对安全事件。我们将探讨响应计划的核心构成、定制化要素以及持续改进的重要性。
上一节我们介绍了事件响应团队及其职责,本节中我们来看看团队如何依据计划来响应事件。
当安全事件发生时,事件响应团队必须准备好快速、高效且有效地响应。无论是数据泄露、DDoS攻击还是勒索软件,事件都有可能对组织造成重大损害。正如之前提到的,法规可能要求组织在特定时间框架内报告事件。因此,组织制定一个正式的事件响应计划至关重要。这样,一旦事件发生,就有一个预先准备好的、一致的过程来快速响应。
你可能记得,安全计划包含三个基本要素:策略、标准和规程。事件响应计划是一份文件,它概述了在事件响应每个步骤中应采取的规程。
响应计划,就像响应团队一样,并非千篇一律。组织会定制其计划以满足其独特需求,例如其使命、规模、行业和结构。例如,较小的组织可能选择将事件响应计划包含在其安全计划中,而其他组织可能选择将其作为独立文件。
尽管并非所有事件响应计划都相同,但它们有一些共同的构成要素。
以下是事件响应计划通常包含的核心内容:
- 事件响应规程:这是关于如何响应事件的分步说明。
- 系统信息:这包括网络拓扑图、数据流图、日志记录和资产清单信息。
- 其他文档:例如联系人列表、表单和模板。
计划并非完美无缺,随着事件的发生,总有调整和改进的空间。事件处理流程和规程必须定期审查和测试。这可以通过桌面推演或模拟演练等练习来完成。这些练习确保所有团队成员都熟悉响应计划。它们也让组织能够识别流程中的任何缺失或不足,从而改进其事件响应计划。
此外,出于监管原因,组织可能被要求完成特定类型的演练。
接下来,我们将讨论事件响应中使用的不同类型工具。
本节课中我们一起学习了事件响应计划。我们了解到,一个有效的计划是快速、一致响应的基础,它通常包含规程、系统信息和其他支持文档。同时,计划需要根据组织的特定情况进行定制,并通过定期测试和演练来持续改进,以应对不断变化的威胁环境。
054:事件响应工具 🛠️
在本节课中,我们将学习安全分析师在事件检测与响应过程中所使用的各类工具。你将了解到,就像工匠需要多种工具来完成工作一样,安全分析师也需要一个多样化的“工具箱”来有效地监控、检测和分析安全事件。
作为一名安全分析师,你将在事件检测中扮演重要角色。毕竟,你将身处主动检测威胁的第一线。要做到这一点,你不仅需要依赖目前已掌握的安全知识,还需要使用各种工具和技术来支持你的调查工作。
一位优秀的木匠不会只用一把锤子来制作家具。他们会依赖工具箱里的各种工具来完成工作。他们需要使用卷尺测量尺寸,用锯子切割木材,用砂纸打磨表面。同样,作为一名安全分析师,你也不会只用单一工具来监控、检测和分析事件。
上一节我们介绍了事件检测的基本概念,本节中我们来看看支持这些工作的具体工具。你将使用检测与管理工具来监控系统活动,以识别需要调查的事件。你将使用文档工具来收集和汇编证据。你还会使用不同的调查工具来分析这些事件,例如数据包嗅探器。
新的安全技术不断涌现,威胁不断演变,攻击者也变得更加隐蔽以规避检测。为了有效地检测威胁,你需要持续扩展你的安全工具箱。这也正是安全领域如此令人兴奋的原因——总有新东西需要学习。
你可能还记得我们在上一节与你分享的“事件处理者日志”。在本课程的后续部分,你将把这份日志作为你自己的文档形式来使用。请将其视为你添加到工具箱中的第一个安全工具。
本节课中我们一起学习了安全分析师在事件响应中所需的各种工具。我们了解到,一个多样化的工具箱对于有效监控、检测和分析安全事件至关重要。从检测工具到文档工具,每一种都在调查过程中发挥着独特的作用。请记住,随着威胁形势的不断变化,持续学习和更新你的工具集是成为一名成功的安全分析师的关键。
055:文档的价值 📄
在本节课中,我们将探讨文档在网络安全事件响应中的核心价值。我们将了解不同类型的文档、有效文档的重要性,以及一些实用的文档工具。
文档的定义与类型
上一节我们介绍了事件处理者日志的用途,本节中我们来看看文档的广泛定义及其常见类型。
文档是为特定目的而记录的任何形式的内容。这包括音频、数字或手写说明,甚至视频。目前没有统一的行业标准,因此许多组织会制定自己的文档实践。无论如何,文档旨在为特定主题提供指导和说明。
文档有多种类型,您可能已从之前的课程中熟悉了其中一些。以下是常见的文档类型:
- 预案手册:提供任何操作行动的详细步骤。
- 事件处理者日志:用于记录事件的五个W(何人、何事、何地、何时、为何)。
- 策略:规定组织的安全要求和规则。
- 计划:概述应对特定情况的整体方案。
- 最终报告:总结事件处理过程和结果。
请记住,由于没有行业标准,一个组织的文档实践可能与另一个组织完全不同。组织通常会根据自身需求和法律要求定制其文档实践,可能会增加、删除甚至合并文档类型。
有效文档的重要性
理解了文档的类型后,我们来看看为什么制作有效的文档至关重要。
您是否曾购买产品后不知如何使用,于是查阅产品手册以获取操作说明?恭喜,您已经使用文档解决了问题。之前我们学习过预案手册如何保障业务运营安全和事件响应。预案手册的工作原理类似于产品手册。作为复习,预案手册是提供任何操作行动细节的手册。您将在后续课程中了解更多关于预案手册的内容。
让我们回到产品手册的例子。您是否曾因需要帮助而查阅产品手册,却发现说明令人困惑,无法获得所需的帮助?无论是由于不清晰的视觉说明还是混乱的布局,您都未能使用文档解决问题。这就是无效文档的一个例子。
有效的文档能减少不确定性和混乱。这在安全事件期间至关重要,因为当时气氛紧张且需要紧急响应。作为安全专业人员,您将经常使用和创建文档。确保您使用和制作的文档清晰、一致且准确至关重要,这样您和您的团队才能迅速果断地响应。
文档工具简介
了解了有效文档的原则后,我们来看看有哪些工具可以帮助我们进行记录。
文字处理器是记录文档的常用方式。一些流行的工具包括 Google Docs、OneNote、Evernote 和 Notepad++。像 JIRA 这样的工单系统也可用于记录和跟踪事件。最后,Google Sheets、录音设备、摄像机和手写笔记也是您可以用来记录的工具。
本节课中我们一起学习了文档在网络安全中的价值,包括其定义、主要类型、有效性的重要性以及一些实用的记录工具。我们关于文档的讨论才刚刚开始,很快您将使用您的事件处理者日志来实践您的文档技能。
网络安全基础:第六课:入侵检测与防御系统简介
在本节课中,我们将学习网络安全中的两个核心概念:入侵检测系统与入侵防御系统。我们将了解它们的工作原理、区别以及在实际环境中的应用。
想象一下,你刚刚在家中安装了一套入侵安防系统。你在家中的每个出入口,包括门和窗户,都安装了入侵传感器。这些传感器通过发出声波来工作。当有物体触碰到声波时,声波会反射回传感器,并触发一个警报发送到你的手机,通知你检测到入侵。
入侵检测系统的工作原理与家庭入侵传感器非常相似。入侵检测系统是一种监控系统和网络活动,并对可能的入侵行为发出警报的应用程序。与家庭入侵传感器一样,IDS收集并分析系统信息以发现异常活动。一旦检测到异常,IDS会向适当的渠道和人员发送警报。
现在,想象一家珠宝店的橱窗传感器。当传感器检测到橱窗玻璃被打碎时,它会触发一个钢制卷帘门自动升起,替换被打碎的窗户,从而阻止未经授权的进入。这就是入侵防御系统的功能。入侵防御系统拥有IDS的所有能力,但它能更进一步:它不仅监控系统活动以发现入侵,还会采取行动来阻止入侵。
许多工具同时具备IDS和IPS的功能。以下是一些流行的工具:
- Snort
- Zeek
- Kismet
- Security Onion
- Suricata
在接下来的课程中,我们将探索Suricata工具。
你可能会好奇这些警报通知会发送到哪里。接下来,我们将讨论如何使用安全信息与事件管理工具来管理这些警报。
本节课中,我们一起学习了入侵检测系统与入侵防御系统的基本概念。IDS负责监控和告警,而IPS则在告警的基础上增加了主动阻止的能力。它们是网络安全监控体系中至关重要的组成部分。
057:使用SIEM与SOAR工具进行告警与事件管理 🚨
在本节课中,我们将要学习安全信息与事件管理(SIEM)工具以及安全编排、自动化与响应(SOAR)工具。这些工具是安全分析师检测和响应网络威胁的核心平台。我们将了解它们如何收集、分析数据,并帮助团队高效地管理安全事件。
关于检测工具的讨论,可能会让你思考告警被发送到哪里,以及安全分析师如何访问这些告警。这正是安全信息与事件管理(SIEM)工具的用武之地。
SIEM是一种收集和分析日志数据以监控组织关键活动的工具。它为安全专业人员提供了其网络活动的高级概览。
那么,SIEM具体是如何做到这一点的呢?让我们用一个汽车的比喻来解释。汽车有许多不同的部件,如轮胎、车灯,当然还有引擎盖下所有的内部机械装置。汽车有很多组件,但你如何知道其中一个出了问题呢?你猜对了,就是通过仪表盘上的警告灯。仪表盘会通知你与汽车部件相关的信息,无论是胎压过低、电池电压不足、需要加油,还是车门未关好。
汽车的仪表盘通过通知你汽车部件的状态,让你可以采取行动进行修复。SIEM工具的工作方式与此类似。就像汽车有许多不同的部件一样,一个网络可能拥有成千上万不同的设备和系统,这使得监控它们成为一项巨大的挑战。汽车的仪表盘为驾驶员提供了汽车状态的清晰画面,使他们无需亲自检查每个部件。同样地,SIEM会查看网络中所有不同系统之间的数据流,并对其进行分析,以提供网络潜在威胁的实时画面。
它通过摄取海量数据并对这些数据进行分类来实现这一点,从而使其能够通过一个类似于汽车仪表盘的集中式平台轻松访问。
以下是SIEM的工作流程:
首先,SIEM工具收集和聚合数据。这些数据通常以日志的形式存在,日志基本上是记录特定源上发生的所有事件。数据可以来自多个来源,如入侵检测系统(IDS)、入侵防御系统(IPS)、数据库、防火墙、应用程序等。
在所有数据被收集之后,它们会被聚合。聚合简单来说就是将来自不同数据源的所有数据集中到一个地方。根据SIEM收集的数据源数量,可能会收集到大量原始的、未经编辑的数据,并且并非SIEM收集的所有数据都与安全分析目的相关。
接下来,SIEM工具规范化数据。规范化处理SIEM收集的原始数据,通过移除非必要的属性来清理数据,从而只包含相关部分。数据规范化还能在日志记录中创建一致性,这在事件调查期间搜索特定日志信息时非常有帮助。
最后,规范化后的数据会根据配置的规则进行分析。SIEM根据规则集分析规范化后的数据,以检测任何可能的安全事件,然后这些事件会被分类或报告为告警,供安全分析师审查。
现在我们已经探讨了SIEM工具的功能,让我们来研究另一种安全管理工具:安全编排、自动化与响应(SOAR)。
SOAR是应用程序、工具和工作流程的集合,它利用自动化来响应安全事件。
虽然SIEM工具为安全分析师收集、分析和报告安全事件以供审查,但SOAR则自动化了对安全事件和事故的分析与响应。
SOAR还可用于跟踪和管理案例。多个事件可以构成一个案例,SOAR提供了一种在一个集中位置查看所有这些事件的方法。
本节课中,我们一起学习了SIEM和SOAR这两种关键的事件管理工具。SIEM如同网络的“仪表盘”,负责收集、规范化和分析日志数据,生成安全告警。而SOAR则在此基础上,通过自动化的工作流程来提升事件响应效率,并帮助管理复杂的安全案例。理解这两种工具如何协同工作,对于现代安全分析师高效地监控和防御网络至关重要。
058:章节总结
概述
在本节课程中,我们学习了网络安全事件响应的核心框架与工具。本节内容为事件响应流程奠定了基础。
章节回顾 🎯
祝贺你完成了新章节的学习。你掌握了大量知识。
作为回顾,我们首先介绍了事件响应生命周期,这是一个支撑事件响应流程的框架。
你还获得了专属于你的事件处理日志,用于记录事件调查过程。你将在本课程的后续部分继续使用它。
上一节我们介绍了事件响应的框架,本节中我们来看看团队如何协作。你探索了事件响应团队如何利用事件响应计划协同工作以应对安全事件。
你还学习了在事件响应过程中使用的文档、检测与管理工具。
总结
恭喜你完成了事件响应学习之旅的第一部分。接下来,我们将探索网络监控。你也将有机会通过实践活动来应用所学知识。
我们下一节再见。😊
059:12_01_welcome-to-week-2
欢迎回来。很高兴你加入我们。
在上一节内容中,我们介绍了事件检测与响应。你可能还记得在之前的课程中学习了网络相关知识。简单回顾一下,你学习了设备如何利用网络协议进行通信,以及不同类型的网络攻击。你也研究了一些网络安全最佳实践。
在本节中,我们将扩展网络知识,并将重点转向网络分析。首先,你将通过探索网络流量流来检查网络通信。接下来,你将学习如何使用数据包嗅探器查看和捕获网络流量。然后,你将接触数据包分析,在其中检查数据包字段并解码设备与网络之间的通信。
作为一名安全专业人员,你的任务将是监控网络和系统基础设施,以检测恶意活动。本节内容将为你提供机会,发展你的网络和数据包分析技能。
你准备好开始了吗?让我们开始吧。
060:13_02_casey-应用网络安全中的软技能
概述
在本节课中,我们将跟随谷歌云企业安全销售团队的凯西,学习在网络安全领域至关重要的软技能。我们将探讨这些技能的重要性以及如何应用它们。
核心建议:立即行动
凯西给出的首要建议是:立即投身于网络安全领域。网络安全世界永不停歇、不断变化,这正是其魅力所在。这个领域需要更多样化的人才参与,需要拥有不同思想、背景和视角的每一个人。
关键软技能一:清晰沟通
在网络安全领域,最重要的软技能之一是能够清晰地总结你想表达的内容。这项技能至关重要。
核心公式:有效沟通 = 清晰总结 + 准确传达
关键软技能二:开放心态
上一节我们介绍了清晰沟通的重要性,本节中我们来看看另一项可能更为关键的软技能:以开放的心态工作。
威胁形势在不断变化,威胁行为者从不休息,因此我们也必须保持警惕。网络安全之所以有趣,正是因为它持续变化。如果我们带着固定心态进入这个领域,认为自己已经知道答案、完全了解情况,那么我们注定会失败。
我们必须始终保持好奇心。从网络安全的角度来看,不放过任何蛛丝马迹至关重要。
核心代码:
# 模拟开放心态的伪代码
while True: # 持续学习循环
if new_threat_emerges(): # 如果出现新威胁
investigate() # 调查
learn_and_adapt() # 学习并适应
maintain_curiosity() # 保持好奇心
软技能的普遍性与优势
关于软技能,最棒的一点是我们每个人都拥有它们,并且每天都在使用。因此,每一位观看本课程的学习者,在网络安全领域都已经拥有了先发优势。
总结
本节课中我们一起学习了网络安全从业者必备的两项核心软技能:清晰沟通与开放心态。我们了解到,网络安全是一个需要持续学习、适应和保持好奇心的动态领域。请记住,你已经具备了开启职业生涯所需的软技能基础。
061:网络流量的重要性 🔍
在本节课中,我们将学习网络流量的基本概念,理解监控网络流量对于检测潜在安全事件的重要性,并探讨如何通过观察流量异常来发现攻击迹象。
在许多组织中,网络通信会穿越不同国家的多个网络和不同的设备。
数据可能被无意中发送并存储在不安全的地方,例如个人电子邮件收件箱或云存储平台。
用户相信他们的数据能够被安全地发送和存储。
而像您这样的安全专业人员的工作,就是帮助保护这些传输中和静态存储的通信。
上一节我们介绍了如何通过数据分类和加密等安全控制来识别和保护关键资产。本节中,我们将扩展这一主题,探讨如何利用网络流量分析来监控网络活动并识别潜在的恶意行为。
那么,什么是网络流量?网络流量是指通过网络传输的数据量。
而网络数据则是指在网络设备之间传输的数据本身。
根据网络的规模,在任何给定时刻都可能产生巨大的网络流量。
例如,在一个大型跨国组织中。
可能随时有数千名员工在发送和接收电子邮件。
这会产生大量的网络流量。面对如此庞大的流量,您如何知道哪些是正常行为,哪些是异常行为并需要作为潜在安全事件进行调查呢?
想象一下在您日常通勤的路上遇到了意外的交通堵塞。当您缓慢前行时。
您意识到是某些异常情况导致了拥堵,比如一次轻微的车辆碰撞。
这减缓了预期的车流速度。在道路上,我们基于通勤经验对交通流有一定的预期。
高峰时段的交通模式,如早晚上下班高峰期,是正常且可预期的。
而在非高峰时段出现的异常交通状况,则表明发生了意外事件,比如车辆碰撞。
网络流量的工作原理与此相同。通过理解数据应如何在网络中流动。
您可以建立起对预期网络流量流的认识。通过了解什么是正常的。
您就能轻易地发现什么是异常的。我们可以通过观察来检测流量异常,从而发现入侵指标。
入侵指标也称为 IOC,它是表明可能存在安全事件的可观察证据。
以数据渗漏为例,它是指数据从系统中未经授权的传输。
攻击者利用数据渗漏来窃取或泄露数据,例如用户名。
密码或知识产权。通过观察网络流量。
我们可以判断是否存在入侵指标,例如从某个主机发出的大量出站流量。
这是可能存在数据渗漏的迹象,可以进行进一步调查。
理解和监控网络流量中的不一致性是安全专业人员工作的重要方面。接下来,我们将实时探索一次数据渗漏攻击的具体表现。
我们下一节见。
本节课中,我们一起学习了网络流量的定义及其在安全监控中的核心作用。我们了解到,通过建立对正常流量模式的认知,可以有效地识别异常流量,并将其作为发现潜在安全事件(如数据渗漏)的关键入侵指标。
062:数据窃取攻击的检测与响应 🚨
在本节课中,我们将学习数据窃取攻击的完整过程,包括攻击者的视角和防御者的应对策略。我们将了解攻击者如何逐步渗透网络、窃取数据,以及安全团队如何通过监控和响应来检测并阻止此类攻击。
监控网络流量有助于安全专业人员检测、预防和响应攻击。根据我的安全专业经验,监控网络流量模式中的异常情况能带来显著成效。即使信息经过加密,出于安全目的,监控网络流量仍然至关重要。
让我们探讨一下在数据窃取攻击中,检测与响应流程是如何运作的。首先,我们将从攻击者的视角进行概述。
攻击者视角
在攻击者能够执行数据窃取之前,他们需要首先获得对网络和计算机系统的初始访问权限。这可以通过网络钓鱼等社会工程学攻击来实现,此类攻击诱骗人们泄露敏感数据。攻击者可以发送带有附件或链接的钓鱼邮件,诱骗目标输入其凭据。至此,攻击者已成功获得对其设备的访问权限。
在获得系统的初始立足点后,攻击者不会就此止步。他们的目标是在环境中维持访问权限,并尽可能长时间地避免被检测到。为此,他们会执行一种称为横向移动或渗透的战术。这意味着他们会花费时间探索网络,目标是扩大并维持其对网络上其他系统的访问权限。
当攻击者在网络中渗透时,他们会侦察环境,以识别有价值的资产,例如敏感数据。这些资产可能包括专有信息、姓名和地址等个人身份信息或财务记录。他们通过搜索网络文件共享、内联网站点、代码仓库等位置来完成此操作。
在攻击者识别出有价值的资产后,他们需要收集、打包并准备数据,以便将其从组织的网络窃取到攻击者手中。他们可能采取的一种方法是减少数据大小。这有助于攻击者隐藏被盗数据并绕过安全控制。最后,攻击者会将数据窃取到他们选择的目的地。实现此目的的方法有很多,例如,攻击者可以使用被入侵的电子邮件账户将窃取的数据发送给自己。
防御者策略
现在您已经了解了攻击者的视角,让我们探讨组织如何防御此类攻击。
首先,安全团队必须阻止攻击者访问。您可以使用多种方法来保护网络免受钓鱼攻击。例如,要求用户使用多因素认证。
获得网络访问权限的攻击者可能会在一段时间内不被察觉。因此,安全团队监控网络活动以识别可能表明系统被入侵的任何可疑活动至关重要。例如,应调查来自网络外部IP地址的多次用户登录。
之前,您学习了如何使用资产清单和安全控制来识别、分类和保护资产。作为组织安全策略的一部分,所有资产都应记录在资产清单中。同时,应应用适当的安全控制措施来保护这些资产免遭未经授权的访问。
最后,如果数据窃取攻击成功,安全团队必须检测并阻止数据窃取。为了检测攻击,可以通过网络监控识别异常数据收集的指标。这些指标包括大量的内部文件传输、大量的外部上传以及意外的文件权限变更。
SIEM工具可以检测这些活动并发出警报。一旦警报发出,安全团队将进行调查并阻止攻击继续进行。阻止此类攻击的方法有很多。例如,一旦识别出异常活动,您可以使用防火墙规则阻止与攻击者相关的IP地址。
数据窃取攻击只是众多可以通过网络监控检测到的攻击之一。接下来,您将学习如何使用数据包嗅探器来监控和分析网络通信。
总结
本节课中,我们一起学习了数据窃取攻击的完整生命周期。我们从攻击者的角度,了解了他们如何通过初始访问、横向移动、资产识别、数据打包,最终完成数据窃取。随后,我们从防御者的角度,探讨了如何通过预防访问、持续监控、资产保护以及利用SIEM工具检测和响应警报来构建防御体系。理解攻防双方的视角,是有效进行网络安全检测与响应的关键。
063:数据包与数据包捕获
在本节课中,我们将学习网络通信的基本单位——数据包,以及如何通过数据包捕获技术来记录和分析网络流量。理解这些概念对于检测网络中的异常活动和潜在威胁至关重要。
无论是员工发送电子邮件,还是恶意行为者试图窃取机密数据,在网络中执行的操作都可以通过检查网络流量来识别。理解这些网络通信能为我们提供关于网络活动的宝贵洞察,从而更好地了解环境状况并防御潜在威胁。
基于此,让我们来探讨如何通过数据包捕获来记录网络流量。
数据包基础
在之前的课程中我们了解到,发送数据时,数据会被分割成数据包。就像邮寄的信封一样,数据包包含投递信息,用于将其路由到目的地。这些信息包括发送方和接收方的IP地址、正在发送的数据包类型等。数据包可以提供大量关于网络设备间通信的信息。
你可能还记得,一个数据包包含多个组成部分。
以下是数据包的主要组成部分:
- 报头:包含诸如所使用的网络协议类型和端口等信息。可以将其想象为信封上的姓名和邮寄地址。
- 网络协议:是决定网络设备间数据传输规则的一组规则。
- 端口:是计算机上用于组织网络设备间数据传输的非物理位置。
- 报头还包含数据包的源IP地址和目的IP地址。我们将在后续章节中探讨报头包含的更多信息。
- 载荷:包含正在传递的实际数据。这就像信封里信件的内容。
- 报尾:标志着一个数据包的结束。
捕获与分析数据包
那么,如何才能观察到网络数据包呢?就像气味无形但可以被闻到一样,数据包虽然不可见,但可以使用称为数据包嗅探器的工具来捕获。
你可能在之前的章节中还记得数据包嗅探器。网络协议分析器或数据包嗅探器是一种旨在捕获和分析网络内数据流量的工具。
作为安全分析师,你将使用数据包嗅探器来检查数据包,以发现入侵指标。通过数据包嗅探,我们可以以数据包捕获的形式,获取流经网络的详细数据包快照。
数据包捕获或 Pcap 是一个包含从接口或网络截获的数据包的文件。这有点像截获邮件中的信封。
Pcap捕获在事件调查期间极其有用。通过访问网络设备间的通信,你可以观察网络交互,并开始构建事件脉络以确定究竟发生了什么。
接下来,我们将讨论数据包分析的重要性。我们稍后见。
本节课总结:我们一起学习了数据包的结构(包括报头、载荷和报尾),了解了网络协议和端口的作用,并介绍了使用数据包嗅探器进行数据包捕获(Pcap)的基本概念。这是分析网络流量、检测异常和调查安全事件的基础技能。
网络安全基础:第六课:拉响警报:检测与响应
概述
在本节课中,我们将学习如何通过分析数据包来解读和理解网络通信。我们将探讨数据包分析的重要性,介绍用于分析的工具,并深入了解数据包的关键组成部分——IP头部。
数据包分析:解读网络通信 📖
上一节我们提到了数据包捕获,本节中我们来看看数据包分析。
如果数据包捕获类似于截获邮件中的信封,那么数据包分析就如同阅读信封内的信件。我们将讨论分析数据包如何帮助我们解读和理解网络通信。
众所周知,网络环境非常嘈杂。在任何给定时刻,设备之间都在进行着海量的通信。因此,数据包捕获文件可能包含大量的网络通信数据,这使得分析工作具有挑战性且耗时。
在调查中高效过滤数据包 🔍
作为安全专业人员,您需要争分夺秒地保护网络和计算机系统免受潜在攻击。您可能会分析数据包捕获形式的网络证据,以识别入侵指标。掌握使用数据包嗅探器过滤网络流量、收集相关信息的能力,是一项至关重要的技能。
例如,假设您的任务是分析一个数据包捕获文件,以查找任何数据渗漏的迹象。您将如何进行?使用网络分析器工具,您可以过滤数据包捕获文件以对数据包进行排序。这可以帮助您快速识别与数据渗漏相关的事件,例如大量数据离开数据库。
您可以对数据包捕获应用许多其他过滤器,以高效地找到支持调查所需的信息。
以下是常见的网络分析器工具示例:
- TCPdump:通过命令行访问。
- Wireshark:具有图形用户界面。
这两种工具对安全分析师都非常有用,稍后您将有机会探索它们。
深入数据包:IP头部详解 🧩
在开始使用这些工具之前,让我们详细探讨数据包的字段,特别是IP头部。我们将在下一部分见面。
065:深入解析数据包头部字段 🔍
在本节课中,我们将学习如何手动分析和解读网络数据包。作为安全分析师,掌握这项技能至关重要。我们将重点剖析IP数据包头部,了解其各个字段的含义和作用,从而理解数据在网络中是如何被组织和传输的。
数据包与IP头部概述
上一节我们介绍了TCP/IP模型的四层结构。本节中,我们来看看数据包在其中的关键组成部分——IP头部。TCP/IP模型是一个用于可视化数据如何在网络中组织和传输的框架。网络层负责接收和传递数据包,也是互联网协议运作的层面,它是所有互联网通信的基础,确保数据包能够到达目的地。
互联网协议的工作方式类似于邮递员投递信件。它不使用信封上的投递信息,而是使用数据包头部的信息,如IP地址,来确定数据包传输的最佳可用路径,从而实现主机之间的数据发送和接收。
IP头部字段详解
正如你所知,IP数据包包含头部。头部包含了将数据传输到预定目的地所必需的数据字段。不同的协议使用不同的头部。互联网协议有两个主要版本:IPv4(被视为互联网通信的基础)和IPv6(最新的互联网协议版本)。不同协议使用不同的头部,因此IPv4和IPv6的头部结构不同,但包含名称不同但功能相似的字段。目前IPv4仍是最广泛使用的协议,因此我们将重点解析IPv4头部字段。
以下是IPv4头部的主要字段及其功能:
- 版本:此字段指定所使用的IP版本,即IPv4或IPv6。可以类比为邮件的不同类别,如优先、特快或平邮。
- 头部长度:此字段指定IP头部的长度加上任何选项的长度。
- 服务类型:此字段指示某些数据包是否应得到不同的处理。可以类比为邮寄包裹上的“易碎品”标签。
- 总长度:此字段标识整个数据包(包括头部和数据)的长度。可以类比为信封的尺寸和重量。
- 标识、标志、片偏移:这三个字段处理与分片相关的信息。分片是指一个IP数据包被分解成多个块,通过线路传输,并在到达目的地时重新组装。这些字段指定是否使用了分片以及如何按正确顺序重新组装被分解的数据包。这类似于邮件在到达目的地前可能经过多个路径,如邮箱、处理设施、飞机和邮车。
- 生存时间:顾名思义,此字段决定数据包在被丢弃前可以存活的时间。没有这个字段,数据包可能会在路由器间无限循环。TTL类似于跟踪信息提供的信封预计送达日期。
- 协议:此字段通过提供一个对应特定协议的值来指定所使用的协议。例如,TCP协议用数字
6表示。这类似于在邮政地址中包含门牌号。 - 头部校验和:此字段存储一个称为校验和的值,用于检测头部是否发生了任何错误。
- 源地址:此字段指定源IP地址。
- 目的地址:此字段指定目的IP地址。这就像信封上找到的寄件人和收件人联系信息。
- 选项:此字段不是必需的,通常用于网络故障排除,而非普通流量。如果使用此字段,头部长度会增加。这就像为信封购买邮政保险。
最后,在数据包头部的末尾是数据包的数据所在位置,就像电子邮件中的正文内容。
总结
本节课中,我们一起学习了如何手动分析网络数据包的核心——IP头部。我们详细探讨了IPv4头部中的各个关键字段,包括版本、长度、地址信息、生存时间等,并通过与邮政系统的类比,理解了每个字段在网络通信中扮演的角色。这些信息是安全分析师进行网络流量分析、检测异常和响应安全事件的基础。接下来,你将有机会详细检查这些数据包字段。
066:使用tcpdump进行数据包捕获
在本节课中,我们将要学习如何使用一个名为tcpdump的强大命令行工具来捕获和分析网络数据包。tcpdump是网络安全分析中不可或缺的工具,能够帮助我们深入了解网络通信的细节。
什么是tcpdump?
tcpdump是一个流行的网络分析器。它预装在许多Linux发行版上,并且可以安装在大多数类Unix操作系统上,例如macOS。
tcpdump是一个命令行工具。这意味着它没有图形用户界面。在本课程的前期,你已经了解到命令行是一个非常强大且高效的工具。现在,我们将练习将其与tcpdump结合使用。
你可以通过为命令应用选项和标志来轻松过滤网络流量,从而精确地找到你想要查看的内容。例如,你可以过滤特定的IP地址、协议或端口号。
一个简单的tcpdump命令示例
让我们来检查一个用于捕获数据包的简单tcpdump命令。请注意,当你使用此命令时,你计算机上的流量显示可能会有所不同。
我们运行的命令是:sudo tcpdump -i any -v -c 1。
sudo:因为我们登录的Linux帐户没有运行tcpdump的权限,所以使用sudo来获取管理员权限。tcpdump:启动tcpdump程序。-i any:-i选项用于指定我们要监听流量的网络接口。any表示监听所有可用的网络接口。-v:代表详细模式,用于显示详细的数据包信息。-c 1:-c代表计数,用于指定tcpdump将捕获的数据包数量。这里我们指定为1个。
解读tcpdump输出
乍一看,输出信息量很大。让我们逐行分析。
首先,tcpdump告诉我们它正在监听所有可用的网络接口,并提供了捕获大小等附加信息。
以下是输出的核心字段解析:
时间戳
第一个字段是数据包的时间戳,详细记录了数据包传输的具体时间。它以小时、分钟、秒和小数秒开始。在事件调查中,时间戳对于确定时间线和关联流量非常有帮助。
IP数据包头部信息
接下来是IP版本字段,这里显示为IP,意味着是IPv4。详细选项-v为我们提供了更多关于IP数据包字段的细节,例如协议类型和数据包长度。
以下是IP头部中的关键字段:
tos:代表服务类型。它指示某些数据包是否应得到不同的处理优先级,其值以十六进制表示。ttl:代表生存时间。它告诉我们一个数据包在被丢弃前可以在网络中传输多久。id,offset,flags:这三个字段提供与数据包分片相关的信息。它们提供了如何按正确顺序重组数据包的指令。例如,flags旁边的DF代表“不分片”。proto:协议字段。它指定正在使用的协议,并提供与该协议对应的数值。在此示例中,协议是TCP,由数字6表示。length:数据包的总长度,包括IP头部。
通信端点
接下来,我们可以观察到正在相互通信的IP地址。箭头方向指示了流量的方向。IP地址的最后一部分指示了端口号或服务名称。
校验和与TCP信息
cksum:校验和字段,存储一个用于判断头部是否发生错误的值。这里显示为correct,表示没有错误。- 其余字段与TCP协议相关。例如,
Flags指示TCP标志位。示例中的P是推送标志,而句点.表示确认标志。这意味着该数据包正在推送数据。
总结
本节课中,我们一起学习了tcpdump的基本用法。我们了解了如何通过一个简单的命令sudo tcpdump -i any -v -c 1来捕获数据包,并详细解读了输出结果中的各个关键字段,包括时间戳、IP头部信息、通信端点以及TCP标志位。这只是你可以在tcpdump中使用的众多命令之一,用于捕获和分析网络流量。观察这些无形数据包中包含的所有信息非常有趣,请亲自尝试一下吧。
067:检测与响应
概述
在本节课中,我们将回顾并总结网络流量分析与数据包捕获的核心技能。这些技能是检测潜在安全威胁和进行事件响应的基础。
课程回顾与总结 🎯
到目前为止,你做得很好。祝贺你成功捕获并分析了第一个数据包。
让我们回顾一下目前已涵盖的内容。
首先,你学习了网络流量如何为通信提供有价值的洞察。这是通过监控网络活动以寻找入侵指标来实现的。
已掌握的关键技能
以下是我们在本阶段学习的核心内容:
-
识别异常网络活动
你学会了如何发现异常的网络活动,例如数据渗漏。 -
使用数据包嗅探器
你学会了如何使用数据包嗅探器来查看和捕获网络流量。 -
进行数据包分析
你学会了如何通过数据包分析来检查数据包。这包括剖析数据包头部的数据字段,并详细分析数据包捕获文件。
技能进展与展望
你在培养入门级安全职位所需技能方面取得了很大进展。
接下来,你将沉浸到事件调查的精彩世界中。在那里,你将研究检测和遏制安全事件背后的流程。
我将在那里与你相见。😊
总结
本节课中,我们一起学习了网络流量监控的重要性、识别异常活动的方法、使用工具捕获数据包以及深入分析数据包结构的技能。这些是网络安全分析师进行威胁检测和事件响应的基础能力。
068:安全事件生命周期管理
概述
在本节课中,我们将要学习安全事件从发生到结束的完整生命周期。我们将重点关注如何检测、响应安全事件,并从事件中恢复。通过本部分的学习,你将获得对事件处理流程的全面理解。
欢迎回来。你在目前阶段的表现非常出色。
你正在学习的这些技能,将为开启你的安全职业生涯打下坚实的基础。
从网络分析到事件响应
上一节中,你应用了网络知识来加深对网络流量的理解。你练习了一些安全分析师在实际工作中使用的技能,例如捕获网络流量和分析数据包。
接下来,我们将从头到尾地审视一个安全事件的生命周期。
本节核心学习目标
以下是本节你将重点学习的内容:
- 你将学习在检测到安全事件后,如何进行调查和验证。
- 你将探索事件响应背后的计划和流程。
- 最后,你将了解组织在事件发生后所采取的、用于从经验中学习和改进的后续行动。
在本节结束时,你将全面理解一个安全事件的生命周期。
你已经准备好了。让我们开始吧。
069:检测与响应生命周期中的检测与分析阶段 🔍
在本节课中,我们将学习安全事件响应生命周期中的“检测与分析”阶段。我们将了解安全事件如何被发现、如何进行分析验证,以及安全分析师在此过程中面临的挑战和所需技能。
上一节我们介绍了安全事件响应的整体框架,本节中我们来看看其核心的起始阶段——检测与分析。
检测阶段
检测阶段的目标是及时发现安全事件。需要明确的是,并非所有“事件”都是“安全事件”。事件是业务运营中的常规活动,例如访问网站或重置密码请求。而安全事件则是指违反安全策略、威胁到信息资产机密性、完整性或可用性的行为。其关系可以概括为:
公式: 安全事件 ⊆ 事件
安全信息和事件管理工具会从不同来源收集并分析事件数据,以识别潜在的可疑活动。如果检测到安全事件,例如恶意行为者成功获得了对某个账户的未授权访问,系统就会发出警报。
分析阶段
当警报发出后,安全团队便进入分析阶段。分析阶段涉及对警报的调查与验证。在此过程中,分析师必须运用批判性思维和事件分析技能来调查和验证警报。他们会检查入侵指标,以确定是否真的发生了安全事件。
然而,分析工作面临几项挑战。
以下是分析师在检测与分析阶段面临的主要挑战:
- 检测的局限性:不可能检测到所有威胁。即使优秀的检测工具,其工作方式也存在局限。此外,由于资源有限,自动化工具可能无法在组织内全面部署。
- 不可避免的事件:某些安全事件是不可避免的,这就是为什么组织制定事件响应计划至关重要。
- 海量警报:分析师每班次通常会收到大量警报,有时甚至成千上万。大多数情况下,高警报量是由警报设置配置不当引起的。例如,过于宽泛且未根据组织环境进行调整的警报规则会产生大量误报。
- 真实攻击激增:其他时候,高警报量也可能是由恶意行为者利用新发现的漏洞发起的真实攻击所导致的合法警报。
总结
本节课中我们一起学习了事件响应生命周期的检测与分析阶段。我们明确了检测的目标是发现安全事件,而分析的核心是对警报进行验证与调查。同时,我们也认识到分析师在实际工作中需要应对检测工具局限性、海量警报(包括误报和真实攻击)等挑战。作为一名安全分析师,掌握有效分析警报的能力至关重要,在接下来的课程中,你将进行相关的实践。
070:网络安全行业的变革 🔄
在本节课中,我们将学习网络安全行业的发展趋势与核心挑战,特别是关于零信任架构的兴起及其对安全从业者能力的要求。
大家好,我是 M.K.,担任谷歌云首席安全官办公室的总监。
我的职责是从安全角度保护谷歌云,同时确保我们提供所有必要的工具和产品,以便我们的客户也能实现其安全目标。
行业现状与挑战
上一节我们介绍了课程背景,本节中我们来看看网络安全行业当前面临的核心挑战。
该行业普遍缺乏一种对手却大量具备的敏捷性。当攻击者发现某种方法有效时,他们会持续使用,直到遇到障碍。一旦障碍出现,他们已展现出能够轻松调整战术和技术的能力,以便在未来尝试入侵时绕过这些障碍。
因此,我们无人能预测未来。我们并未处于任何最终阶段,这是一个持续演进的行业。你可以确定的是,我们需要以多种方式做好准备,以应对对手必将发起的持续攻击。
应对挑战所需的能力
这要求我们具备一定的敏捷性。你必须习惯于在未知中工作,同时必须具备足够的智力才能,以便能够即时消化信息并制定新的解决方案。
以下是应对未来挑战所需的关键能力:
- 适应未知:习惯于在不明确和变化的环境中工作。
- 快速学习与创新:具备即时消化新信息并制定有效解决方案的智力。
零信任架构的兴起
接下来,我们将探讨当前网络安全领域的一个重要趋势:零信任。
零信任目前是一个巨大的趋势,因为它既是行业向零信任发展的愿望,也是世界某些地区的法规要求。
零信任是对我们过去传统安全方式的转变。用通俗的话说,假设你是一名商务旅行者,带着商务笔记本电脑入住世界另一端的酒店,需要为即将召开的商务会议做准备。传统上,你需要证明自己是企业内试图访问信息的合法用户。是的,基于你所拥有的身份信息,并结合设备信息,该用户和设备应有权访问此信息并做出决策。
未来展望与持续学习
我相信,我们在零信任方法或架构上投入越多,就能达到一个更好的起点。但我认为未来的许多事情仍是未知的,这意味着我们需要持续学习。这意味着不断让自己接触行业的不同领域,以便为未来可能发生的情况做好准备。
本节课中我们一起学习了网络安全行业的动态本质、对手的敏捷性、以及零信任作为关键应对策略的兴起。核心在于,安全从业者必须培养适应性和持续学习的能力,以应对不断演变的威胁。
071:文档化的益处 📝
在本节课程中,我们将探讨安全团队在事件响应过程中进行文档记录所带来的核心益处。理解这些益处将帮助你作为一名安全专业人员,更有效地利用文档这一工具。
你可能还记得我们之前讨论过安全团队在响应事件时使用的不同文档工具和类型。
文档化的核心益处
上一节我们介绍了文档的类型,本节中我们来看看文档化能带来哪些具体的好处。
实现可扩展性与透明度
文档的首要益处是实现团队工作的可扩展性。作为一名编写了大量检测规则的安全工程师,记录以下信息至关重要:规则触发意味着什么、应分配何种严重级别、哪些情况可能导致误报,以及分析师如何确认警报是真实的。如果没有这些文档,安全运营团队的规模将永远无法超越一两个分析师。
如果事件被记录下来,就意味着它发生的经过有据可查。这使得相关人员能够获取关键信息,这一特性被称为透明度。透明的文档可作为安全保险索赔、合规性调查和法律诉讼的证据来源。在后续章节中,你将了解更多有助于实现这一目标的文档流程。
提供标准化与清晰度
文档化还提供了标准化。这意味着组织成员可以遵循一套既定的指南或标准来完成某项任务或工作流程。
以下是创建标准化文档的一个例子:
- 建立组织的安全策略。
- 制定标准化的处理流程。
- 明确具体的操作步骤。
由于有既定的规则可循,这有助于维持工作质量。同时,文档也提升了清晰度。有效的文档不仅能让团队成员清楚了解自己的角色和职责,还能提供如何完成工作的信息。例如,提供详细指示的应急预案手册,能够在事件响应期间防止不确定性和混乱。
适应变化与辅助决策
安全领域在不断变化。威胁在演变,合规要求也可能改变。因此,定期维护、审查和更新文档以跟上任何变化至关重要。作为一名安全专业人员,你可能需要同时兼顾文档责任和其他任务。
花时间记录你的行动,能帮助你回忆事实和信息。你甚至可能会注意到之前采取的行动中存在某些疏漏。你花在文档记录上的时间不仅对你自己,对整个组织都极具价值。
总结
本节课中我们一起学习了文档化的多项关键益处:它使安全运营团队能够扩展,为行动提供透明的记录,建立标准化的工作流程以保障质量,提升工作的清晰度以指导团队,并能随着威胁和法规的变化而更新,最终通过记录过程辅助个人与组织的决策与知识积累。掌握这些益处,是有效利用文档这一强大工具的基础。
072:使用监管链表单记录证据 🔍
在本节课中,我们将要学习监管链的概念及其在网络安全事件响应中的关键作用。监管链是记录证据从收集到最终处置全过程的方法,它确保了证据的透明度和法律可采性。
上一节我们讨论了文档如何提供透明度,本节中我们来看看一个具体的工具——监管链表单。
在事件响应过程中,证据在整个事件生命周期内都必须有据可查。如果证据被要求作为法律程序的一部分,追踪证据就尤为重要。安全团队如何确保这一点呢?他们使用一种名为监管链的表单。
监管链是在事件生命周期中,记录证据持有和控制情况的过程。一旦证据被收集,监管链表单就开始启用。在处理证据时,应填写该表单的详细信息。
让我们通过一个数字取证分析的简单例子,来研究监管链是如何被使用的。
之前我们学到,数字取证是收集和分析数据以确定攻击后发生了什么的实践。在一次事件响应中,安全分析师Ayesha确认一个被入侵的硬盘需要取证团队检查。
首先,她确保硬盘被写保护,这样磁盘上的数据就无法被编辑或擦除。然后,她计算并记录硬盘镜像的加密哈希函数。请记住,哈希函数是一种能产生无法解密的代码的算法。
随后,Ayesha被指示将硬盘移交给取证部门的Collin。Collin检查后,将其发送给另一位分析师Naav。Naav收到被入侵的硬盘后,又将其交给她的经理Arman。
每次硬盘被转移给另一个人时,他们都需要在监管链表单中记录,以确保证据的流转是透明的。通过使用Ayesha在流程开始时记录的原始哈希值,可以检测出硬盘数据是否被篡改。这确保了存在一条完整的书面记录,描述了谁处理了证据、为何处理、以及处理的时间和地点。
就像其他类型的文档一样,监管链表单没有标准的模板,但它们包含一些共同的要素。以下是您可能在监管链日志表单上看到的内容:
以下是监管链日志表单通常包含的要素:
- 证据描述:包括任何识别信息,如位置、主机名、MAC地址或IP地址。
- 监管日志:详细记录转移和接收证据的人员姓名。还包括证据被收集或转移的日期、时间以及转移目的。
您可能想知道,如果证据记录不正确或存在缺失条目会怎样?这种情况被称为监管链断裂,它发生在证据收集和记录过程中出现不一致时。
在法律程序中,监管链文件有助于确立证据的完整性、可靠性和准确性。对于与安全事件相关的证据,监管链表单用于帮助满足法律标准,以便这些证据能在法律程序中使用。
如果恶意行为者入侵了系统,必须有证据来确定他们的行为,以便采取适当的法律行动。然而,在某些情况下,监管链的重大断裂会影响证据的完整性、可靠性和准确性。这会影响证据是否能成为可信的信息来源并在法庭上使用。
总结
本节课中我们一起学习了监管链的核心概念。监管链表单为我们提供了一种维护证据的方法,通过记录证据的每一次流转,确保其透明、可信且符合法律要求,从而让恶意行为者能够为其行为负责。它不仅是技术流程,更是连接技术调查与法律问责的关键桥梁。
073:剧本的价值 📘
在本节课中,我们将要学习网络安全剧本的概念、类型及其在事件响应中的核心价值。剧本就像一份详细的旅行计划,为安全团队在应对突发事件时提供清晰的行动指南。
剧本是什么?🗺️
上一节我们介绍了事件响应的基本流程,本节中我们来看看如何让这个过程更加有序。剧本类似于旅行行程单。它是一种手册,为任何操作行动提供详细信息。它为安全分析师提供了事件发生时应采取的确切操作指令。剧本为安全专业人员在整个事件响应生命周期中的任务描绘了清晰的图景。
剧本的价值与必要性 ⚙️
响应事件有时是不可预测且混乱的。安全团队需要快速有效地行动。剧本通过清晰地概述响应特定事件时应采取的行动,为这一时期提供了结构和秩序。通过遵循剧本,安全团队可以减少响应期间的任何猜测和不确定性。这使得安全团队能够快速且毫不犹豫地行动。没有剧本,对事件进行有效且迅速的响应几乎是不可能的。
在剧本中,可能包含检查清单,这也能帮助安全团队在压力时期有效执行,提醒他们完成事件响应生命周期中的每一步。
剧本的应用示例 📋
以下是剧本如何应对特定攻击的步骤。剧本概述了应对勒索软件、数据泄露、恶意软件或DDoS等攻击所必需的步骤。
这里有一个使用流程图展示的剧本示例,描述了在检测到DDoS攻击时应采取的步骤。该图描绘了检测DDoS的过程,从确定入侵指标开始,例如未知的入站流量。一旦确定了入侵指标,下一步就是收集日志,最后分析证据。
剧本的三种类型 🔧
了解了剧本的基本构成后,我们来看看它的不同实现形式。剧本主要有三种类型:非自动化、自动化或半自动化。
我们刚才探讨的DDoS剧本是非自动化剧本的一个例子,它需要分析师执行逐步操作。自动化剧本则自动化了事件响应流程中的任务。例如,可以使用自动化剧本来完成诸如对事件严重性进行分类或收集证据等任务。自动化剧本有助于缩短事件解决时间。SOAR和SIEM工具可以配置来自动化剧本。
最后,半自动化剧本将人员操作与自动化相结合。繁琐、易出错或耗时的任务可以实现自动化,而分析师则可以优先处理其他任务。半自动化剧本有助于提高生产力并缩短解决时间。
剧本的维护与更新 🔄
随着安全团队响应事件,他们可能会发现剧本需要更新或更改。威胁在不断演变,为了使剧本保持有效,必须定期维护和更新。引入剧本更改的一个绝佳时机是在事件后活动阶段。我们将在接下来的章节中更详细地探讨这个阶段。
本节课中我们一起学习了网络安全剧本的核心概念。我们了解到剧本是指导事件响应的关键文档,它能提供结构、减少不确定性,并分为非自动化、自动化和半自动化三种类型。定期维护剧本对于应对不断变化的威胁至关重要。
074:事件响应中的分诊角色 🚨
在本节课中,我们将要学习事件响应中的一个关键环节——分诊。你将了解分诊如何帮助安全分析师高效处理海量警报,并掌握其基本流程。
概述
正如你所了解到的,安全分析师在任何一天都可能被大量的警报所淹没。那么,分析师如何管理所有这些警报呢?医院急诊科每天会接收大量病人,每位病人因不同原因需要医疗护理,但并非所有病人都能立即得到救治。这是因为医院的资源有限,必须高效管理时间和精力。他们通过一个称为“分诊”的过程来实现这一点。
什么是分诊?
在医学领域,分诊用于根据病人病情的紧急程度对其进行分类。例如,患有心脏病等危及生命状况的病人会立即得到医疗关注,而手指骨折等非危及生命状况的病人可能需要在看医生前等待。分诊有助于管理有限的资源,使医护人员能够优先处理病情最紧急的病人。
分诊同样应用于安全领域。在警报升级之前,它会经过一个分诊过程,根据事件的重要性或紧急程度确定优先级。与医院急诊科类似,安全团队用于事件响应的资源也是有限的。
为何需要分诊?
并非所有事件都相同,有些可能需要紧急响应。事件根据其对系统机密性、完整性和可用性构成的威胁进行分诊。例如,涉及勒索软件的事件需要立即响应,因为勒索软件可能造成财务、声誉和运营损害。勒索软件的优先级高于员工收到钓鱼邮件这类事件。
分诊何时发生?
一旦检测到事件并发出警报,分诊就开始了。作为安全分析师,你将识别不同类型的警报,然后根据紧急程度确定其优先级。
分诊流程
分诊过程通常如下所示。以下是其核心步骤:
- 接收与评估警报:首先,接收并评估警报,以确定它是否是误报,以及是否与现有事件相关。
- 分配优先级:如果警报是真正的阳性事件(非误报),则根据组织的政策和指南为其分配优先级。优先级定义了安全团队将如何响应该事件。
- 调查与收集证据:最后,调查警报,并收集和分析与警报相关的任何证据,例如系统日志。
作为分析师,你需要确保完成彻底的分析,以便有足够的信息对你的发现做出明智的决策。
调查中的上下文分析
例如,假设你收到了一个用户登录失败的警报。你需要为调查添加上下文,以确定其是否为恶意行为。你可以通过提问来实现:
- 此警报是否有任何异常之处?
- 是否存在多次失败的登录尝试?
- 登录是否发生在正常工作时间之外?
- 登录是否发生在网络外部?
这些问题描绘了事件的全貌。通过添加上下文,你可以避免做出可能导致不完整或错误结论的假设。
过渡到响应与恢复
现在我们已经介绍了如何对警报进行分诊,接下来我们准备讨论如何响应事件并从事件中恢复。让我们继续前进。
总结
本节课中,我们一起学习了事件响应中分诊的核心作用。我们了解到,分诊是一个根据紧急程度对警报进行优先级排序的关键流程,它帮助安全团队在资源有限的情况下,将精力集中在最紧迫的威胁上。流程包括评估警报、分配优先级和深入调查。通过为调查添加上下文,我们可以做出更准确的分析和决策。
075:跨团队协作
概述
在本节课中,我们将跟随谷歌红队项目负责人罗宾,学习网络安全工作中至关重要的跨团队协作。我们将了解团队合作如何帮助应对复杂的安全挑战,并通过一个真实案例,体会有效协作带来的积极成果。
团队合作是网络安全的核心技能
我的名字是罗宾,我是谷歌红队的项目管理负责人。
我认为团队合作可能是网络安全从业人员最重要的技能。
协作文化的核心在于理解每个人都带来了独特的视角、有用的观点和实用的技能。
团队合作之所以重要,是因为这些问题很困难。这些问题很复杂。
网络攻击者很聪明。他们资源充足,并且动机强烈。
因此,他们不断想出新的方法来实施他们想要进行的活动。
这需要拥有各种视角、各种问题解决技能和各种知识的人聚集在一起,共同理解发生了什么以及我们如何防御。
团队协作中的信息共享
当你作为团队的一员工作时,需要期待的事情之一是你应该自由地与同事分享信息,并且他们也会在事件响应的初期和混乱阶段自由地与你分享信息。
所有信息都是有用的,因此要准备好立即投入工作。
分享你所知道的一切,并倾听周围人所说的话,以便我们能够尽快得出最佳解决方案。
真实案例:应对重大漏洞
在我担任当前职位后不久,我们经历了一次非常重大的安全事件。
在一个被互联网上许多不同地方广泛使用的库中发现了一个漏洞,并且这个漏洞非常严重。
我是参与响应该事件的团队的一员。那个聚集起来的团队,我们建立了一个响应流程,利用我们在世界各地的同事进行全天候的覆盖。
卓越团队协作的成果
我们经历的卓越团队合作的最终结果,首先是,我们能够成功管理这个漏洞。
但更重要的是,团队在事后凝聚在一起的方式,以及人们至今仍在谈论我们出色的团队合作如何拉近了我们与同事的距离,这意味着我们的团队合作比以前更好了,意味着这些团队合作的方面我们现在做得非常好。
我们都感觉我们一起经历了一些事情,并且我们因此变得更强大。
总结与鼓励
在本节课中,我们一起学习了团队合作在网络安全领域的核心地位,了解了自由分享信息的重要性,并通过一个真实案例看到了有效协作带来的强大力量。
另一方面,在你学习这个证书课程的过程中,你可能会了解到网络安全很棘手或很困难,但请不要放弃。你学得越多,你就会越享受它。所以请坚持下去,尽可能多地学习,你将会拥有一个伟大的职业生涯。
076:事件响应生命周期中的遏制、根除与恢复阶段
在本视频中,我们将讨论事件响应生命周期的第三阶段。这个阶段包含了安全团队如何遏制、根除事件并从事件中恢复的步骤。需要注意的是,这些步骤相互关联:遏制有助于实现根除的目标,而根除又有助于实现恢复的目标。此生命周期阶段也与NIST网络安全框架的核心功能——响应和恢复——相集成。
第一步:遏制
上一节我们介绍了事件检测,本节中我们来看看检测之后的关键步骤:遏制。在事件被检测到之后,必须对其进行遏制。
遏制是指限制和防止事件造成额外损害的行为。组织会在其事件响应计划中概述遏制策略。遏制策略详细说明了安全团队在检测到事件后应采取的行动。针对不同类型的事件,会使用不同的遏制策略。
以下是针对不同事件类型的遏制策略示例:
- 针对单台计算机系统的恶意软件事件:常见的遏制策略是通过断开网络连接来隔离受影响的系统。这可以防止恶意软件在网络中传播到其他系统。结果是,事件被控制在单一受感染系统内,从而限制了进一步的损害。
遏制行动是从环境中移除威胁的第一步。
第二步:根除
一旦事件得到遏制,安全团队便着手通过根除来移除事件的所有痕迹。根除涉及从所有受影响的系统中完全移除事件的构成元素。
以下是根除行动可能包括的步骤:
- 执行漏洞测试。
- 对与威胁相关的漏洞应用补丁。
第三步:恢复
事件响应生命周期本阶段的最后一步是恢复。恢复是将受影响的系统恢复到正常运营状态的过程。事件可能会在恢复期间中断关键的商业运营和服务。在恢复过程中,所有受事件影响的服务都将被恢复到正常运营状态。
以下是恢复行动可能包括的示例:
- 对受影响系统进行重镜像。
- 重置密码。
- 调整网络配置,例如防火墙规则。
需要记住的是,事件响应生命周期是循环的。随着时间的推移,可能会发生多起事件,并且这些事件可能相互关联。安全团队可能需要返回到生命周期中的其他阶段进行额外的调查。
本节课中我们一起学习了事件响应生命周期的第三阶段,涵盖了遏制、根除和恢复的核心步骤及其相互关系。接下来,我们将讨论生命周期的最后阶段。
077:生命周期中的事后活动阶段
概述
在本节课中,我们将要学习事件响应生命周期的最后一个阶段——事后活动阶段。我们将了解安全团队在成功遏制、根除事件并从中恢复后,如何通过回顾与总结来改进未来的安全实践。
事后活动阶段介绍
上一节我们介绍了事件的遏制、根除与恢复。本节中我们来看看,当安全团队成功完成这些工作后,他们的任务是否就结束了?答案是否定的。无论是在面对新技术还是新漏洞时,安全领域总有更多需要学习的地方。而学习和改进的最佳时机,就发生在事件响应生命周期的最终阶段:事后活动阶段。
事后活动阶段包含了对事件进行回顾的过程,目的是找出在事件处理过程中可以改进的环节。
更新与创建文档
在此生命周期阶段,需要更新或创建不同类型的文档。其中一种需要创建的关键文档是最终报告。
最终报告是一份提供事件全面回顾的文档。它包含事件相关所有活动的时间线和详细信息,以及未来预防的建议。
从响应到预防的转变
在事件发生期间,安全团队的目标是集中精力进行响应和恢复。而在事件之后,安全团队的工作重点则转向最小化事件再次发生的风险。
改进流程的一种方法是召开经验教训会议。经验教训会议邀请所有参与事件处理的各方参加,通常在事件发生后两周内举行。在会议中,团队会回顾事件,以确定发生了什么、采取了哪些行动以及这些行动的效果如何。最终报告也作为本次会议的主要参考文件。
经验教训会议中讨论的目标,是分享关于事件的想法和信息,以及如何改进未来的响应工作。
以下是经验教训会议中可以提出的一些问题:
- 发生了什么?
- 它是什么时候发生的?
- 谁发现了它?
- 它是如何被遏制的?
- 为恢复采取了哪些行动?
- 本可以采取哪些不同的做法?
从错误中学习
事件回顾可能会揭示在检测前和响应过程中出现的人为错误。无论是安全分析师在恢复过程中遗漏了一个步骤,还是一名员工点击了钓鱼邮件中的链接导致恶意软件传播,都应避免因某人做了或没做某件事而对其进行指责。
相反,安全团队可以将其视为一个从已发生事件中学习并改进的机会。
总结
本节课中我们一起学习了事件响应生命周期的事后活动阶段。我们了解到,此阶段的核心是通过创建最终报告、召开经验教训会议来系统性地回顾事件,其目的不是追责,而是识别改进点、优化流程,从而提升组织未来的安全防御和响应能力。
078:检测与响应
概述
在本节课中,我们将总结事件调查与响应的核心内容。我们将快速回顾NIST事件响应生命周期中的检测与分析阶段,以及后续的遏制、根除、恢复和事后行动阶段。作为安全分析师,理解这些流程至关重要。
章节回顾
上一节我们结束了关于事件调查与响应的讨论。现在,让我们快速回顾一下所学内容。
首先,我们重温了NIST事件响应生命周期中的检测与分析阶段,并重点探讨了如何调查和验证事件。
我们讨论了检测的目的,以及如何利用入侵指标来识别系统中的恶意活动。其核心概念是:通过监控特定模式或痕迹来发现异常。
公式/代码示例:
入侵指标可以是文件哈希、异常网络连接或特定的系统日志条目。
事件响应计划与流程
接下来,我们审视了事件响应背后的计划与流程,例如文档记录和事件分级。
以下是事件分级时通常考虑的几个关键因素:
- 影响范围:受影响的系统或用户数量。
- 严重性:对业务运营造成的损害程度。
- 紧急性:需要采取行动的速度。
遏制、根除与恢复
之后,我们探讨了遏制和根除事件的策略,以及如何从事件中恢复。
遏制旨在防止事件造成进一步损害,而根除则是彻底清除威胁源。恢复阶段则专注于使系统和业务操作恢复正常。
事后行动阶段
最后,我们研究了事件生命周期的最后一个阶段:事后行动。
我们讨论了最终报告、时间线的编制,以及通过“经验教训”会议进行事后审查的价值。这个过程对于改进未来的事件响应能力非常重要。
总结与展望
本节课中,我们一起学习了事件响应生命周期的各个阶段。作为安全分析师,你将负责完成生命周期每个阶段所涉及的一些流程。
接下来,你将学习关于日志的知识,并有机会在模拟环境中进行探索。
079:32_01_welcome-to-week-4
历史书籍、收据、日记。这些东西有什么共同点?它们都记录事件。
无论是历史事件、金融交易还是私人日记条目,记录都保存了事件的细节。获取这些细节能在许多方面帮助我们。
上一节中,我们探讨了事件响应生命周期每个阶段所涉及的不同流程和程序。本节中,我们将重点关注事件调查的关键组成部分之一:日志与警报。
在安全领域,日志记录事件细节,这些细节被用来支持调查。首先,你将全面了解日志,包括它们是什么以及如何生成。你还将学习如何阅读和分析日志。接着,你将重新审视入侵检测系统,探索如何解读签名。你将有机会通过使用名为Sracottta的工具进行实践活动来应用所学知识。最后,你将在Splunk和Chronicle等SIEM工具中搜索,以定位感兴趣的事件并访问日志数据。
事件是宝贵的数据源。它们有助于围绕警报创建上下文,使你能够解读系统上发生的操作。知道如何阅读、分析和关联不同事件,将帮助你识别恶意行为并保护系统免受攻击。
准备好,我们开始吧。
080:日志的重要性
在本节课程中,我们将学习网络安全中的基础概念——日志。我们将了解什么是日志、它们为何重要、如何被收集与分析,以及它们在安全监控和事件调查中的关键作用。通过学习,你将能够理解日志的基本结构,并初步掌握分析日志信息的方法。
什么是日志?📝
设备以事件的形式产生数据。作为回顾,事件是指在网络、系统或设备上发生的可观察到的活动。这些数据提供了对环境的可见性。日志是安全专业人员检测异常或恶意活动的关键方式之一。
日志是记录组织系统内发生事件的记录。系统活动被记录在所谓的日志文件中,通常简称为日志。几乎每个设备或系统都能生成日志。
日志的内容与价值 🔍
日志包含多个条目,详细描述了特定事件或发生情况的信息。日志对于安全分析师进行事件调查非常有用,因为它们记录了网络上事件发生的内容、地点和时间。
这些细节包括:
- 日期、时间、位置
- 执行的操作
- 执行操作的用户或系统的名称
这些细节不仅为排查系统性能相关问题提供了宝贵的见解,更重要的是,它们对于安全监控至关重要。日志允许分析师围绕各种事件构建故事和时间线,以准确理解发生了什么。
日志分析 📊
上一节我们介绍了日志的基本概念,本节中我们来看看如何利用这些日志。通过日志分析可以实现上述目标。日志分析是检查日志以识别感兴趣事件的过程。
由于获取日志的来源不同,且可能生成海量的日志数据,有选择性地记录日志有助于提高效率。例如,Web应用程序会生成大量的日志消息,但并非所有这些数据都与调查相关。事实上,无关数据甚至可能拖慢调查进度。排除特定数据不被记录,有助于减少搜索日志数据所花费的时间。
日志收集与处理:SIM工具的角色 ⚙️
你可能还记得我们关于SIM技术的讨论。SIM工具为安全专业人员提供了网络活动的高级概览。
SIM工具通过以下步骤实现这一功能:
- 收集:首先从多个数据源收集数据。
- 聚合:然后将数据聚合或集中到一个地方。
- 规范化:最后,将不同的日志格式规范化或转换为单一的首选格式。
SIM工具有助于实时处理来自多个数据源的大量日志。这使得安全分析师能够快速搜索日志数据并执行日志分析,以支持他们的调查。
那么,日志是如何被收集的呢?被称为日志转发器的软件会从各种来源收集日志,并自动将它们转发到集中的日志存储库进行存储。
日志的数据来源 📡
由于不同类型的设备和系统都可以创建日志,因此环境中存在不同的日志数据源。这些来源包括:
以下是环境中常见的几种日志数据源:
- 网络日志:由代理、路由器、交换机和防火墙等设备生成。
- 系统日志:由操作系统生成。
- 应用程序日志:与软件应用程序相关的日志。
- 安全日志:由IDS或IPS等安全工具生成。
- 认证日志:记录登录尝试。
实战:分析一个网络日志示例 🧑💻
让我们来看一个来自路由器的网络日志示例。这里有几个日志条目,但我们将重点关注第一行。
action=allow source=192.0.2.1 destination=google.com timestamp=2023-10-27T14:30:00Z
我们可以观察到许多字段:
- 操作:指定为
allow。这意味着路由器的防火墙设置允许从特定IP地址访问google.com。 - 源:列出了一个IP地址
192.0.2.1。 - 时间戳:指定为
2023-10-27T14:30:00Z。这是日志中最重要的字段之一,我们可以识别操作发生的确切日期和时间。
到目前为止,这个日志条目的信息告诉我们:来自源IP地址 192.0.2.1 到 google.com 的网络流量是被允许的。时间戳对于关联多个事件以构建事件时间线非常有用。
就是这样。你已经分析了你的第一个网络日志。接下来,我们将继续讨论日志,并探索日志的格式。
总结 📝
本节课中我们一起学习了网络安全中日志的核心知识。我们明确了日志是系统事件的记录,是安全检测的基石。我们探讨了日志分析的价值,认识了SIM工具在收集、聚合和规范化海量日志数据中的关键作用。最后,我们通过一个实际的网络日志示例,拆解了其包含的操作、源地址和时间戳等关键字段,初步体验了如何从日志中提取信息。理解日志是进行有效安全监控和事件响应的第一步。
081:学习新工具与技术
概述
在本节课中,我们将跟随谷歌安全工程师Rebecca,了解她作为一名专注于身份管理的安全工程师的日常工作与学习经历。我们将探讨如何以攻击者的视角思考问题,并学习如何克服在接触全新且复杂的网络安全工具时可能产生的畏难情绪。
课程内容
我是Rebecca,是谷歌的一名安全工程师,我的工作重点是身份管理。
这份工作最棒的部分可能就是像攻击者一样思考。我非常喜欢这个环节:观察如何攻破系统,审视一个系统并思考,如果我是一个坏人,我会如何侵入它。
我会想要什么?我会寻找什么?我会如何找到凭证?我会如何找到有用的机器并成功登录?
我从事安全工作的第一天,我们就在学习一个新工具。整个组织都非常重视培训,他们说:“我们会让你直接上手,这是一个为期一周的学习网络分析器的培训。”
我当时对网络一无所知,更不用说网络安全或这个工具将用于什么。因此我感到压力巨大,因为我觉得自己像一个冒名顶替者,坐在本应属于别人的位置上,学习着远超我理解能力的东西。
我通过提出大量问题来推动自己前进,并放下了那种“我应该知道”的感觉,因为在那个阶段我从未接触过这些。唯一的求知途径就是提问。
这门课程包含许多工具,涵盖大量信息,很容易让人感到不知所措。事实上,我可能也会如此。这里有太多信息需要吸收。
我认为学习这样一门课程——它是一系列课程中的一部分——就像攀登一座高山。你已经爬到了很高的地方,空气变得稀薄,是的,这很困难。你感到不知所措,但你几乎就要登顶了。
总结
本节课中,我们一起学习了Rebecca作为安全工程师的视角。关键在于培养攻击者思维,并勇于在未知领域提问。学习过程如同登山,虽然越到高处越感艰难,但登顶后的视野将无比开阔。完成这些课程后,你的思维方式、看待事物的角度、你的能力以及寻找新工作或转换职业的潜力都将得到极大提升。
082:日志的多样性 📝
在本节课中,我们将要学习日志的不同格式。日志就像系统活动的“收据”,记录了网络中发生的各种事件。了解这些格式对于安全分析师解读日志、发现异常至关重要。
当你在商店购买商品时,通常会收到一张记录购买信息的收据。收据会分解交易信息,包含诸如日期、时间、收银员姓名、商品名称、价格和支付方式等细节。但并非所有商店的收据看起来都一样。例如,汽车维修发票在列出所售商品或服务时会使用大量细节。而餐厅的收据很可能不会包含如此多的细节。尽管商店收据之间存在差异,但所有收据都包含与交易相关的重要细节。
日志与收据类似。收据记录购买行为,而日志则记录在网络或系统上发生的事件或活动。作为一名安全分析师,你将负责解读日志。日志有不同的格式,因此并非所有日志看起来都一样,但它们通常包含诸如时间戳、系统特征(如IP地址)以及事件描述(包括采取的行动和执行者)等信息。
上一节我们了解了日志的基本概念,本节中我们来看看日志的多样性来源。我们知道,日志可以由许多不同的数据源生成,例如网络设备、操作系统等。这些日志源会生成不同格式的日志。有些日志格式被设计为人类可读的,而另一些则是机器可读的。有些日志可能非常详细,这意味着它们包含大量信息,而有些则简短明了。让我们探索一些常用的日志格式。
以下是几种常见的日志格式:
-
Syslog:这是最常用的日志格式之一。Syslog既是一种协议,也是一种日志格式。作为一种协议,它负责传输和写入日志;作为一种日志格式,它包含一个头部,后跟结构化数据和消息。一个Syslog条目包括三个部分:头部、结构化数据和消息。
- 头部:包含时间戳、主机名、应用程序名称和消息ID等数据字段。
- 结构化数据:包含以键值对形式组织的附加数据信息。例如,键
eventSource可能对应值application,指定了日志的数据源。 - 消息:包含关于事件的详细日志消息。例如:
“User login failed”。
-
JSON (JavaScript Object Notation):这是一种基于文本的格式,设计目标是易于读写。它也使用键值对来组织数据。一个JSON日志示例如下:
{ "alert": "malware", "timestamp": "2023-10-27T10:00:00Z", "source_ip": "192.168.1.100" }花括号
{}表示对象的开始和结束。对象是括号之间的数据,使用键值对组织,每个键对应一个值,用冒号分隔。例如,第一行的键是alert,值是malware。JSON以其简单性和易读性而闻名。 -
XML (Extensible Markup Language):这是一种用于存储和传输数据的语言和格式。它不使用键值对,而是使用标签和其他键来组织数据。一个XML日志条目示例如下:
<logEntry> <firstName>John</firstName> <lastName>Doe</lastName> <employeeID>12345</employeeID> <dateJoined>2020-01-15</dateJoined> </logEntry>字段如
firstName、lastName等被包含在标签中。 -
CSV (Comma-Separated Values):这种格式使用分隔符(如逗号)来分隔数据值。一个CSV日志示例如下:
timestamp,alert,source_ip,destination_ip 2023-10-27T10:00:00Z,malware,192.168.1.100,10.0.0.1许多不同的数据字段(如时间戳、警报类型、源IP)用逗号分隔。
现在你已经了解了日志格式的多样性,接下来可以专注于评估日志,以便围绕检测构建上下文。在接下来的课程中,你将探索如何使用入侵检测系统(IDS)签名来检测、记录和警报可疑活动。
本节课中,我们一起学习了日志的多种常见格式,包括Syslog、JSON、XML和CSV。每种格式都有其特定的结构和用途,理解这些格式是安全分析师有效分析和响应安全事件的基础技能。
083:使用检测工具进行安全监控 🛡️
在本节课中,我们将学习检测技术如何监控设备和记录不同类型的系统活动数据,例如网络和端点遥测数据。理解这些概念是进行有效安全监控的基础。
检测需要数据,这些数据可以来自各种数据源。你已经探索了不同设备如何生成日志。现在,我们将研究不同的检测技术如何监控设备,并记录不同类型的系统活动,如网络和端点遥测数据。
遥测是为分析而进行的数据收集和传输,而日志记录的是系统上发生的事件。遥测描述的是数据本身。例如,数据包捕获被视为网络遥测数据。对于安全专业人员而言,日志和遥测数据都是证据来源,可用于在调查期间回答问题。
入侵检测系统回顾
之前,你学习了入侵检测系统(IDS)。请记住,IDS是一种监控活动并对可能的入侵发出警报的应用程序。这包括监控系统或网络的不同部分,例如端点。
端点是指连接到网络的任何设备,例如笔记本电脑、平板电脑、台式计算机或智能手机。端点是进入网络的入口点,这使其成为试图未经授权访问系统的恶意行为者的主要目标。
基于主机的入侵检测系统
为了监控端点是否存在威胁或攻击,可以使用基于主机的入侵检测系统。它是一种监控其安装所在主机活动的应用程序。需要澄清的是,主机是指网络上与其他设备通信的任何设备,类似于端点。
基于主机的入侵检测系统作为代理安装在单个主机上,例如笔记本电脑或服务器。根据其配置,它将监控其安装所在的主机,以检测可疑活动。一旦检测到某些情况,它会将输出记录为日志,并生成警报。
基于网络的入侵检测系统
如果我们想要监控网络呢?基于网络的入侵检测系统收集并分析网络流量和网络数据。基于网络的入侵检测系统的工作原理类似于数据包嗅探器,因为它们分析网络上特定点的网络流量和网络数据。
在网络的不同点部署多个IDS传感器以实现足够的可见性是很常见的。当检测到可疑或不寻常的网络活动时,基于网络的入侵检测系统会将其记录并生成警报。在此示例中,基于网络的入侵检测系统正在监控来自互联网和去往互联网的流量。
检测方法:特征分析
入侵检测系统使用不同类型的检测方法。最常见的方法之一是特征分析。
特征分析是一种用于发现感兴趣事件的检测方法。特征指定了一组规则,IDS在监控活动时会参考这些规则。如果活动与特征中的规则匹配,IDS会记录并发出警报。
例如,可以编写一个特征,以便在系统上连续发生三次登录失败时生成警报,这表明可能存在密码攻击。
日志记录与集中管理
在生成警报之前,必须记录活动。IDS技术将其监控的设备、系统和网络的信息记录为IDS日志。然后,这些IDS日志可以被发送、存储和分析在一个集中的日志存储库中,例如SIEM。
接下来,我们将探索如何读取和配置特征。我们将在那里与你见面。
在本节课中,我们一起学习了安全监控的核心检测工具。我们回顾了入侵检测系统(IDS)的概念,区分了基于主机和基于网络的IDS,并了解了它们如何通过特征分析等方法监控端点和网络活动。我们还认识到,所有这些检测活动产生的日志最终都需要被集中管理和分析,为后续的调查和响应奠定数据基础。
084:检测与响应中的安全思维
概述
在本节课中,我们将跟随谷歌检测与响应团队的Grace,学习如何培养网络安全领域至关重要的“安全思维”。我们将探讨安全思维的核心、获取信息的非常规方式,并为初学者提供实用的学习建议。
什么是安全思维?🔍
上一节我们介绍了课程主题,本节中我们来看看安全思维的具体内涵。
安全思维的核心是好奇心。它是在网络安全、计算机技术与对世界大事的兴趣之间,找到一个兼具创造性与逻辑性的交汇点。这种思维要求我们同时理解攻击者(黑客)与防御者(守护者)的思考方式。
从非常规来源获取信息💡
理解了安全思维的基础后,我们来看看它在实际中如何应用,即如何从意想不到的渠道获取信息。
一个关键方法是共情,即设身处地理解他人,并观察信息如何被获取。有时,信息可能来自非常规的来源。
以下是一个具体案例:
- 案例:通过CPU功耗推断信息。CPU执行不同任务的能耗不同。例如,执行乘法运算比简单加法需要更多能量,这会导致CPU工作负荷加重、温度升高。攻击者可以监测这些物理变化(如功耗或发热),从而推断出CPU在特定时间点正在处理的任务类型,进而获取敏感信息。
如何培养安全思维🚀
我们了解了安全思维的原理与一个有趣案例,那么具体该如何培养这种能力呢?以下是给初学者的建议。
首先,广泛吸收知识。倾听行业内的故事,例如收听那些包含黑客访谈的播客。同时,关注全球发生的不同网络威胁的新闻和文章。
其次,融入社区与实践。参加行业会议和线下聚会,找到可以一起学习和练习的伙伴。需要记住,即使在黑客论坛和聊天室里,人们也在互相传授技巧。寻求帮助并非作弊。
最后,保持耐心与坚持。学习过程中遇到困难、感到不知所措是正常的。面对新术语和复杂概念时,给自己一些时间。可以向你保证,稍后回过头再学习,你会更熟悉并觉得更容易。在挑战面前,对自己保持温和、理解与耐心会有很大帮助。
总结
本节课中,我们一起学习了网络安全中的“安全思维”。我们明确了其核心是好奇心与共情,见识了从CPU功耗等非常规渠道获取信息的思路,并掌握了通过倾听故事、关注新闻、参与社区以及保持耐心来系统培养这种思维的方法。
085:检测签名的构成要素 🔍
在本节课程中,我们将学习如何阅读和理解网络入侵检测系统(NIDS)中的检测签名。签名是定义检测规则的核心,掌握其构成对于安全分析师至关重要。
签名的作用与构成
作为安全分析师,您可能需要编写、定制或测试检测签名。为此,您将使用入侵检测系统工具。本节我们将研究签名的语法。学完本节后,您将能够阅读一个签名。
签名规定了检测规则。这些规则概述了您希望入侵检测系统检测的网络入侵类型。例如,可以编写一个签名来检测并告警试图连接到某个端口的可疑流量。
签名的三大组件
不同网络入侵检测系统的规则语言各不相同。网络入侵检测系统常缩写为NIDS。通常,NIDS规则由三个组件构成:动作、头部和规则选项。现在,让我们更详细地检查这三个组件。
1. 动作
动作通常是签名中指定的第一项。它决定了当满足规则匹配条件时要采取的行动。不同NIDS规则语言的动作可能不同,但一些常见的动作包括:alert(告警)、pass(放行)或reject(拒绝)。
使用我们的例子,如果一条规则指定要对建立异常端口连接的可疑网络流量发出告警,那么入侵检测系统将检查流量数据包并发出告警。
2. 头部
头部定义了签名所针对的网络流量。它包含诸如源和目的IP地址、源和目的端口、协议以及流量方向等信息。
如果我们想检测并告警连接到端口的可疑流量,我们必须首先在头部定义可疑流量的来源。可疑流量可能源自本地网络之外的IP地址,也可能使用特定或不寻常的协议。我们可以在头部指定这些外部IP地址和协议。
以下是一个基本规则中头部信息可能呈现的示例:
tcp 10.120.170.17 any -> 133.113.202.181 80
首先,我们可以观察到协议tcp是签名中列出的第一项。接下来,源IP地址10.120.170.17和源端口号被指定为any(任意)。签名中间的箭头->表示网络流量的方向。因此我们知道,流量源自源IP10.120.170.17的任意端口,去往目的IP地址133.113.202.181的目的端口80。
3. 规则选项
规则选项允许您使用附加参数自定义签名。有许多不同的选项可供使用。例如,您可以设置选项来匹配网络数据包的内容,以检测恶意负载。恶意负载驻留在数据包的数据部分,并执行删除或加密数据等恶意活动。
配置规则选项有助于缩小网络流量范围,从而精确找到您要查找的内容。典型的规则选项由分号分隔,并括在括号内。
在这个例子中,我们可以检查到规则选项被括在一对括号中,并且也用分号分隔:
(msg:"This is a message"; sid:1000001; rev:1;)
第一个规则选项msg(代表message)提供了告警文本。在本例中,告警将打印出文本“This is a message”。还有选项sid(代表Signature ID),它为每个签名附加一个唯一ID。rev选项代表修订版本。每次签名更新或更改时,修订号都会改变。这里的数字1表示这是该签名的第一个版本。
总结与展望
很好,现在您已经在成为安全分析师的旅程中掌握了另一项技能:如何阅读签名。还有更多知识需要学习。接下来,我们将讨论使用签名的工具。
本节课中,我们一起学习了网络入侵检测系统签名的核心构成。我们了解到一个完整的签名通常包含动作、头部和规则选项三部分。动作决定了匹配后的行为,头部定义了流量的五元组信息,而规则选项则提供了更精细的检测和描述能力。理解这些组件是编写、分析和调试安全检测规则的基础。
086:使用Suricata检查签名规则
概述
在本节课中,我们将学习如何使用开源的基于签名的入侵检测系统(IDS)——Suricata,来检查和分析一个预定义的签名规则。我们将了解签名规则的各个组成部分及其含义,并理解如何根据实际环境调整规则以提高检测效率。
回顾签名分析
上一节我们介绍了基于签名的分析方法,并学习了如何阅读基于网络的入侵检测系统(NIDS)中使用的签名。本节中,我们将通过一个具体的工具来实践这一知识。
探索Suricata签名文件
我们将使用一个名为Suricata的开源签名型IDS来检查一个签名规则。许多IDS技术都附带预写的签名,你可以将这些签名视为可自定义的模板,类似于文字处理器中提供的不同模板。这些签名模板为你编写和定义自己的规则提供了一个起点。当然,你也可以编写并添加自己的规则。
以下是通过Suricata检查预写签名的步骤:
- 定位配置文件目录:在这台运行Ubuntu的Linux机器上,Suricata已经安装完毕。我们首先通过
cd命令切换到/etc目录下的suricata目录。这里是所有Suricata配置文件的存放位置。 - 列出目录内容:接下来,我们使用
ls命令列出Suricata目录的内容。目录中有几个不同的文件,但我们将重点关注rules文件夹,预写的签名就存放在这里。你也可以在此处添加自定义签名。 - 进入规则文件夹:我们使用
cd命令,后跟文件夹名称,以导航到该文件夹。再次使用ls命令,可以观察到该文件夹包含针对不同协议和服务的规则模板文件。 - 查看规则文件:让我们使用
less命令来检查custom.rules文件。快速回顾一下,less命令会逐页返回文件内容,便于前后翻阅查看。
分析签名规则结构
我们将使用方向键向上滚动。以井号(#)开头的行是注释,旨在为阅读者提供上下文信息,Suricata会忽略这些行。
第一行注释写道:
# custom rules example for HTTP connection
这告诉我们,此文件包含针对HTTP连接的自定义规则。
我们可以观察到一个签名。签名的第一个词指定了该签名的动作。对于这个签名,动作是alert。这意味着当所有条件都满足时,该签名会生成一个警报。
签名的下一部分是头部。它指定了协议http、源IP地址$HOME_NET、源端口定义为any。箭头->指示了流量的方向:来自家庭网络($HOME_NET),去往目的IP地址$EXTERNAL_NET和任意目的端口(any)。
到目前为止,我们知道这个签名在检测到任何离开家庭网络、前往外部网络的HTTP流量时会触发警报。
让我们检查签名的其余部分,以确定签名是否还有其他查找条件。
签名的最后一部分包含规则选项。它们被括在括号内,并用分号分隔。这里列出了许多选项,但我们将重点关注msg、flow和content选项。
msg选项将在警报触发时显示消息“GET on wire”。flow选项用于匹配网络流量的方向。这里设置为established,表示连接已成功建立。content选项检查数据包的内容。在引号之间,指定了文本"GET"。GET是一种HTTP请求方法,用于从服务器检索和请求数据。这意味着如果网络数据包包含文本GET(表示一个请求),该签名就会匹配。
完整的签名规则示例:
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"GET on wire"; flow:established; content:"GET"; sid:1000001; rev:1;)
总结与安全分析师的角色
总而言之,当Suricata在从家庭网络发往外部网络的HTTP连接中观察到文本GET时,此签名就会发出警报。
每个环境都是不同的,为了使IDS有效,必须对签名进行测试和定制。作为安全分析师,你可能会测试、修改或创建IDS签名,以提高环境中威胁的检测能力,并减少误报的可能性。
接下来,我们将研究Suricata如何记录事件。我们稍后见。
本节课总结
本节课中,我们一起学习了如何定位和查看Suricata的签名规则文件,并深入分析了一个典型签名规则的各个组成部分,包括动作、头部和规则选项。我们理解了签名如何通过匹配特定条件(如协议、流量方向和内容)来触发警报,并认识到根据实际环境定制规则对于提高入侵检测系统效能的重要性。
网络安全检测与响应:第六课:分析Suricata日志
在本节课程中,我们将学习如何分析由Suricata生成的日志。Suricata是一种网络入侵检测与防御系统,它通过生成详细的日志来记录网络活动和安全警报。理解这些日志的格式和内容是进行有效安全调查的关键。
上一节我们介绍了Suricata的基本概念,本节中我们来看看它生成的具体日志数据。
Suricata的警报和事件以一种称为Eve-JSON的格式输出。Eve代表“可扩展事件格式”,而JSON代表“JavaScript对象表示法”。正如之前所学,JSON使用键值对(例如 {"key": "value"})来组织数据,这种结构简化了从日志文件中搜索和提取文本的过程。
Suricata主要生成两种类型的日志数据:警报日志和网络遥测日志。
以下是这两种日志类型的简要说明:
- 警报日志:包含与安全调查相关的信息。这通常是触发警报的签名(规则)的输出。例如,一个检测网络中可疑流量的签名会生成一个警报日志,捕获该流量的详细信息。
- 网络遥测日志:包含关于网络流量流的信息。网络遥测并非总是与安全直接相关,它只是记录网络上发生的事件,例如连接到特定端口。
这两种日志类型都为调查过程中构建事件脉络提供了信息。让我们来具体看看每种日志的示例。
首先,我们来看一个警报日志的示例。我们可以通过event_type字段的值为alert来判断这是一个警报事件。
{
"event_type": "alert",
"src_ip": "192.168.1.100",
"dest_ip": "10.0.0.5",
"proto": "TCP",
"alert": {
"signature_id": 20001234,
"signature": "ET MALWARE Suspicious User-Agent",
"category": "A Network Trojan was detected"
}
}
日志中还记录了被记录活动的详细信息,包括IP地址和使用的协议(如TCP)。此外,还有关于签名本身的细节,例如签名消息和ID。从签名消息判断,此警报似乎与检测到恶意软件有关。
接下来,我们看一个网络遥测日志的示例,它显示了对一个网站HTTP请求的详细信息。
{
"event_type": "http",
"src_ip": "192.168.1.100",
"dest_ip": "93.184.216.34",
"hostname": "www.example.com",
"http": {
"http_user_agent": "Mozilla/5.0",
"http_content_type": "text/html"
}
}
event_type字段告诉我们这是一个HTTP日志。请求的详细信息包括:hostname(被访问的网站),user_agent(用于连接网站的软件名称,本例中是网页浏览器Mozilla 5.0),以及content_type(HTTP请求返回的数据类型,此处指定为HTML文本)。
以上就是对Suricata不同类型日志输出的分析。在接下来的实践活动中,你将通过亲手操作Suricata来应用我们刚刚探讨的知识。祝你学习愉快。
总结:本节课中,我们一起学习了Suricata生成的两种核心日志格式——警报日志和网络遥测日志。我们了解了Eve-JSON格式的结构,并通过具体示例分析了每种日志所包含的关键信息,这些信息对于追踪安全事件和理解网络活动至关重要。
网络安全基础:第六课:重新审视SIEM工具
在本节课中,我们将学习安全信息与事件管理工具的核心功能与工作流程。SIEM工具是安全分析师进行日常监控、告警分析和事件调查的关键平台。
作为安全分析师,你需要能够快速访问履行职责所需的相关数据。无论是处理告警、监控系统,还是在事件调查中分析日志数据,SIEM都是完成这项工作的工具。简单回顾一下,SIEM是一种收集和分析日志数据以监控组织关键活动的应用程序。它通过收集、分析和报告来自多个来源的安全数据来实现这一目标。
之前,你已经了解了SIEM进行数据收集的过程。现在,让我们重新审视这个过程。
以下是SIEM处理数据的三个核心步骤:
- 数据收集:SIEM工具从环境中各处的设备和系统收集并处理海量生成的数据。
- 数据规范化:并非所有数据格式都相同。设备会生成不同格式的数据,这带来了挑战,因为没有统一的数据表示格式。SIEM工具通过规范化数据,使安全分析师能够轻松读取和分析。原始数据经过处理,格式变得一致,并且只包含相关的事件信息。
- 数据索引:最后,SIEM工具对数据进行索引,以便可以通过搜索进行访问。所有不同来源的所有事件都可以通过指尖轻松访问。
这非常有用。SIEM工具使得快速访问和分析环境中网络上的数据流变得容易。作为安全分析师,你可能会遇到不同的SIEM工具。重要的是,你能够调整并适应你所在组织最终使用的任何工具。
考虑到这一点,让我们探索一些当前安全行业中使用的SIEM工具。
Splunk
Splunk是一个数据分析平台。Splunk Enterprise Security提供了SIEM解决方案,让你可以搜索、分析和可视化安全数据。首先,它从不同来源收集数据。然后,这些数据经过处理并存储在一个索引中。之后,可以通过多种不同方式访问它,例如通过搜索。
Chronicle
Chronicle是谷歌云的SIEM工具,它存储安全数据以供搜索、分析和可视化。首先,数据被转发到Chronicle。然后,这些数据被规范化或清理,以便于处理和索引。最后,数据变得可以通过搜索栏进行访问。
接下来,我们将探索如何在上述SIEM平台上进行搜索。
在本节课中,我们一起学习了SIEM工具的核心价值在于收集、规范化、索引安全数据,并了解了Splunk和Chronicle两款主流SIEM工具的基本数据处理流程。掌握这些工具的工作原理,是高效开展安全监控与分析工作的基础。
089:使用Splunk查询事件 🔍
在本节课中,我们将学习如何在安全信息与事件管理(SIEM)系统中进行搜索和查询,特别是使用Splunk的搜索处理语言(SPL)来检索和分析安全事件数据。
概述
上一节我们介绍了SIEM系统的工作原理。本节中,我们来看看如何查询已导入SIEM数据库的事件数据。用户可以通过在SIEM的搜索引擎中输入查询语句来访问这些数据。
SIEM数据库可以存储海量数据,其中一些数据可能追溯到多年前。这使得搜索特定安全事件变得具有挑战性。例如,假设您要搜索一个失败的登录事件。如果仅使用“failed login”这样的关键词进行搜索,这是一个非常宽泛的查询,可能会返回数千条结果。这类宽泛的查询会降低搜索引擎的响应速度,因为它需要在所有索引数据中进行搜索。
但是,如果您指定额外的参数,如事件ID、日期和时间范围,就可以缩小搜索范围,从而更快地获得结果。确保搜索查询足够具体非常重要,这样您才能精确找到所需内容,并节省搜索过程的时间。
在Splunk中进行查询
不同的SIEM工具使用不同的搜索方法。例如,Splunk使用其专有的查询语言,称为搜索处理语言,简称SPL。SPL提供多种搜索选项,可用于优化搜索结果,从而获取您需要的数据。
现在,我将演示在Splunk Cloud中对一个名为Buttercup Games的虚构在线商店,进行涉及错误或失败事件的原始日志搜索。
以下是执行搜索的基本步骤:
-
构建查询语句:首先,我们在搜索栏中输入查询语句:
Buttercup Games error OR fail*。- 此查询指定了索引为“Buttercup Games”。
- 同时指定了搜索词“error”或“fail”。
- 布尔运算符
OR确保两个关键词都会被搜索。 - 术语
fail*末尾的星号*是一个通配符,意味着它将搜索所有包含“fail”的可能结尾。这有助于扩展搜索结果,因为事件可能以不同方式标记失败,例如使用“failed”一词。
-
选择时间范围:接下来,我们使用时间范围选择器指定一个时间段。请记住,搜索越具体越好。让我们搜索过去30天的数据。
-
分析搜索结果:在搜索栏下方,我们可以看到搜索结果。
- 时间线:提供了一个时间段内事件数量的可视化图表,有助于识别事件模式,例如活动高峰。
- 事件查看器:列出了所有匹配搜索的事件。请注意,我们的搜索词“Buttercup Games”和“error”在每个事件中都被高亮显示。似乎没有找到与“fail”一词匹配的事件。
- 事件详情:每个事件都带有时间戳和包含错误的原始日志数据。数据显示,Buttercup Games网站上使用的HTTP cookie存在相关错误。
- 数据源信息:在原始日志数据的底部,有一些与数据源相关的信息,包括主机名、来源和来源类型。这些信息告诉我们事件数据源自何处,例如某个设备或文件。
优化搜索结果
如果我们点击数据源信息(例如主机名WWW1),可以选择将其从搜索结果中排除。
在搜索栏中,我们可以看到搜索词已更改为包含host!=WWW1,这意味着不包含WWW1主机。请注意,新的搜索结果中不包含WWW1作为主机,但包含WWW2和WWW3。这只是您可以用来定位搜索以检索所需信息的众多方法之一。
这种搜索称为原始日志搜索,由于它在搜索过程中提取日志数据字段,因此搜索性能较慢。作为安全分析师,您将使用不同的SPL命令来优化搜索性能,以获得更快的搜索结果。
总结
本节课中,我们一起学习了在Splunk中进行查询。您了解了有效查询的重要性,并掌握了执行基本Splunk搜索的方法。接下来,您将学习如何在Chronicle中查询事件。
090:使用Chronicle查询事件
在本节中,我们将学习如何使用Chronicle平台来搜索和筛选日志数据。Chronicle是谷歌云的安全分析平台,它允许安全分析师高效地查询事件,以进行威胁检测和调查。我们将重点介绍其搜索功能,包括如何使用统一数据模型搜索和原始日志搜索。
概述:Chronicle搜索基础
Chronicle允许你搜索和筛选日志数据。在本视频中,我们将探索使用Chronicle的搜索字段来定位特定事件。
Chronicle使用YARA-L语言来定义检测规则。这是一种用于创建规则以搜索已摄入日志数据的计算机语言。例如,你可以使用YARA-L编写规则来检测与有价值数据外泄相关的特定活动。
使用Chronicle的搜索字段,你可以搜索诸如主机名、域名、IP地址、URL、电子邮件、用户名或文件哈希等字段。
搜索类型:UDM搜索与原始日志搜索
使用搜索字段时,你可以输入不同类型的搜索。默认的搜索方法是使用UDM搜索,它代表统一数据模型。这种搜索会遍历经过规范化的数据。
如果你在规范化数据中找不到所需的数据,你还可以选择搜索原始日志。原始日志搜索会遍历尚未被规范化的日志。
从我们之前关于SIEM流程的讨论中,你可能还记得,原始日志会在规范化步骤中被处理。在规范化过程中,原始日志中的所有相关信息会被提取并格式化,使数据更易于搜索。我们可能需要搜索原始日志的一个原因是,查找可能未包含在规范化日志中的数据,例如尚未被规范化的特定字段,或者用于排查数据摄入问题。
实践:执行一次UDM搜索
现在,让我们通过一个例子来检查如何使用Chronicle进行失败登录的UDM搜索。
首先,点击结构化查询构建器图标,以便我们可以执行UDM搜索。
我将输入搜索条件:metadata.event_type = “USER_LOGIN” AND security_result.action = “BLOCK”。
让我们分解这个UDM搜索。由于我们正在搜索规范化数据,我们需要指定一个使用UDM格式的搜索。UDM事件具有一组通用字段。
metadata.event_type字段详细说明了事件的类型。在这里,我们要求Chronicle查找一个认证活动事件,即“用户登录”。AND是一个逻辑运算符,它告诉搜索引擎要同时包含这两个条件。- 最后,
security_result.action字段指定了一个安全操作,例如“允许”或“阻止”。在这里,操作是“阻止”。这意味着用户登录被阻止或失败了。
现在,我们按下查询按钮。我们将专注于搜索规范化数据。
解读搜索结果
我们看到了一个显示搜索结果的屏幕。这里有很多信息。
在“UDM搜索”下,我们可以看到我们的搜索条件。
还有一个条形图时间线,可视化显示了一段时间内的失败登录事件。快速浏览一下,这让我们可以了解失败登录活动随时间的变化情况,从而发现可能的模式。
在时间线下方,有一个与此搜索关联的带时间戳的事件列表。
在每个事件下,都有一个资产,即设备名称。例如,这个事件显示了一个名为“Alice”的用户的失败登录。如果我们点击该事件,可以打开与该事件关联的原始日志。在调查过程中,我们可以解读这些原始日志以获取有关事件活动的更多细节。
在左侧,有快速过滤器。这些是我们可以用来筛选搜索结果的附加字段或值。例如,如果我们点击target.ip,会得到一个IP地址列表。如果我们点击其中一个IP地址,就可以将搜索结果筛选为仅包含此目标IP地址。这有助于我们找到正在寻找的特定数据,并在此过程中节省时间。
总结
做得好。现在,你知道了如何使用Chronicle执行搜索。在接下来的实践活动中,你将有机会使用我们刚刚讨论过的SIEM工具来执行搜索。😊
091:检测与响应总结 🎯
在本节课中,我们将回顾并总结关于日志分析、入侵检测系统以及安全信息与事件管理工具的核心知识与技能。
章节回顾 📚
恭喜你完成了本部分的学习。在你的安全学习之旅中,你已经取得了巨大的进步。让我们回顾一下所学内容。
上一节我们介绍了日志分析的基础,本节中我们来总结关键要点。
以下是本部分的核心学习内容总结:
- 日志分析与解读:你学习了如何阅读和分析日志。你研究了日志文件的生成方式及其在分析中的应用。
- 日志格式比较:你比较了不同类型的常见日志格式,并学会了如何解读它们。
- 入侵检测系统深化:通过比较基于网络的入侵检测系统和基于主机的入侵检测系统,你扩展了对入侵检测系统的理解。
- 签名解读与编写:你学习了如何解读签名。你研究了签名的编写方式,以及它们如何检测、记录和告警入侵行为。
- 命令行工具实践:你在命令行中与
serrakata工具交互,以检查和解读签名与警报。 - SIEM工具搜索:最后,你学习了如何在如
Splunk和Chronicle这类SIEM工具中进行搜索。你认识到了构建针对性查询以定位安全事件的重要性。
技能应用与重要性 ⚙️
在事件响应的最前沿,监控和分析网络流量以寻找入侵指标是主要目标之一。能够执行深入的日志分析、知道如何阅读和编写签名以及如何访问日志数据,这些都是你作为安全分析师将要用到的技能。
课程总结 🏁
本节课中,我们一起学习了网络安全检测与响应的核心组成部分。从基础的日志分析到入侵检测系统的原理,再到使用专业工具进行实践,你已建立起识别和应对安全威胁的重要知识框架。这些技能是构建有效安全防御体系的基础。
092:课程总结
在本节课中,我们将回顾《检测与响应》课程的核心内容。我们将总结在事件响应生命周期、网络流量分析、日志解读以及安全分析师日常工作中所学习的关键概念与工具。
课程内容回顾
首先,我们从事件响应生命周期的概述开始。你学习了安全团队如何协调响应工作,并探索了事件响应中使用的文档、检测和管理工具。
接下来,我们学习了如何监控和分析网络流量。你了解了使用数据包嗅探器(Packet Sniffers)捕获和分析数据包。你还练习使用了像 tcpdump 这样的工具来捕获和分析网络数据,以识别入侵指标(IOCs)。
上一节我们介绍了网络分析,本节中我们来看看事件响应的具体流程。我们探讨了事件响应生命周期各阶段涉及的流程和程序。你学习了与事件检测和分析相关的技术。你还了解了诸如监管链(Chain of Custody)、预案手册(Playbooks)和最终报告(Final Reports)等文档。最后,我们以探索用于恢复和事后活动的策略作为结束。
最后,我们学习了如何解读日志和警报。你探索了在命令行中使用 Suricata 来阅读和理解签名与规则。你还使用了像 Splunk 和 Chronicle 这样的安全信息与事件管理(SIEM)工具来搜索事件和日志。
安全分析师的职责与展望
作为一名安全分析师,你每天都将面临新的挑战。无论是调查证据还是记录你的工作,你都将运用在本课程中学到的知识来有效地响应事件。
你在扩展知识面和学习新工具以充实你的安全工具箱方面做得非常出色。安全领域最吸引人的一点在于总有新知识可以学习。在接下来的课程中,你将通过探索一种名为 Python 的编程语言来继续你的学习之旅,该语言可用于自动化安全任务。
本节课中我们一起学习了事件响应的完整生命周期、网络流量分析工具(如 tcpdump)、日志分析工具(如 Suricata 和 SIEM 平台)以及安全分析师的核心工作流程。请继续保持出色的学习状态。
浙公网安备 33010602011771号