泷羽sec----蓝队基础学习(精简版)

声明! 学习视频来自B站up主 泷羽sec
有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!有兴趣的小伙伴可以点击下面连接进入b站主页B站泷羽sec

1. 企业网络架构

企业网络架构通常由技术与信息管理团队根据企业规模和业务需求而设定,具体管理职能分工如下:

  • 首席信息官(CIO):负责企业的信息系统管理,包括IT系统、网络、数据库、服务器、工作站等,并确保系统的整体安全。
  • 首席技术官(CTO):主要负责运营技术(OT),保障业务运营所需的技术平台稳定高效运作。

2. IT管理职能

企业IT管理的主要职能包括集中系统管理、BYOD管理和影子IT的管控:

  • 集中系统管理:集中管理核心业务系统和网络设备,确保资源的高效利用和统一维护。
  • 自带设备(BYOD)管理:制定并实施BYOD政策,保障员工自带设备访问企业网络的安全性。
  • 影子IT管理:管控员工自行搭建的非官方IT工具或系统,以防范潜在安全风险。

3. 中央技术支持团队

技术支持团队按照功能和任务分为若干子团队,通常包括:

  • 客户服务团队:负责工作站、笔记本支持及服务台的日常运维。
  • 基础设施团队:管理网络和服务器集群,保障基础设施的稳定性与高可用性。
  • 数据库管理团队:专注于数据库存储和维护,确保数据的安全、高效存取。

各子团队通常依托项目需求,依据信息技术基础设施库(ITIL)框架采购系统并进行实施和维护。

4. 企业安全管理

企业通过**信息安全管理成熟度模型(ISM3)设立信息安全框架,由首席信息安全官(CISO)**负责落实:

  • 安全职能涵盖战略、战术和运营三个层面。
  • 安全团队成员需熟悉企业文化、关键流程与人员,以便在风险管理与业务目标协同中提升团队形象。

5. 典型企业网络分区

企业网络被划分为不同安全区域,限制访问权限,防御外部和内部威胁:

  • DMZ隔离区:将内部系统与外部网络隔离,防止未经授权的直接访问。
  • 蜜罐:用于引诱并分析潜在入侵者行为,获取实时威胁情报。
  • 代理服务:为外部访问提供有限网络服务,减少核心系统的直接攻击面。
  • 员工与合作伙伴VPN连接:保障员工和合作伙伴安全访问内网。
  • 核心网络:采用物理隔离和冗余设计,确保高可靠性。
  • 内部网络:包括有线、无线及VPN接入,供内部员工和设备使用。
  • 安管区:管理日志与告警,负责安全事件的监控和分析。

6. 云部署与模糊边界

随着云技术的广泛应用,传统的网络边界逐渐模糊。为保证安全,企业通常采用以下措施:

  • 凭证同步与SSO解决方案:通过SSO同步云和本地的身份凭证。
  • 本地-云集成系统:使用Azure AD Connect等工具进行本地与云端的统一管理。
  • 混合数据管理:通过Oracle数据集成器等实现数据跨平台的整合管理。
  • 跨云平台工作负载管理:使用Oracle服务总线或戴尔云平台等工具管理混合环境中的工作负载。

7. 外部攻击面

企业需识别并分析外部攻击面,通过以下步骤减少潜在风险:

  • 情报收集:利用OSINT技术收集开源情报,全面绘制网络范围内的节点。
  • Nmap扫描:使用命令nmap -Sn <subnet>/24识别子网中的活跃主机。
  • SSH设备保护:特别关注未加固的SSH设备,并通过Nessus等工具检测漏洞。
  • 漏洞扫描与修复:使用漏洞扫描工具生成详细报告,指导后续加固措施。

8. 身份管理与访问控制

身份管理是企业网络安全的基石,确保正确的权限分配和访问控制:

  • 识别关键应用:如Microsoft Exchange、SharePoint、Active Directory,确保这些服务的安全性。
  • Linux应用识别:重点监控OpenSSH、Samba等关键服务。
  • Web服务识别:利用WhatWeb识别边界设备及应用。
  • 终端设备识别:确保内部网络设备不会因疏漏暴露在风险之中。

9. 企业数据存储与虚拟化平台

随着数据量增加,企业数据存储和管理方式趋向集中化和虚拟化:

  • 存储区域网络(SAN):提供高速、高性能的数据存储。
  • 网络附加存储(NAS):通过本地网络为服务器和工作站提供大量存储。
  • 串行局域网(SoL)协议:基于HTTPS传输串行数据,提升数据传输的安全性。
  • 虚拟化平台:如vSphere、Proxmox,简化了虚拟机管理,提高资源利用率。

10. SOC管理流程

企业通过SOC和ISMS管理网络安全,将SOC分为以下层级:

  • L1(初级监控层):监控告警、分类处理小型事件。
  • L2(事件分析层):分析、遏制并解决日常事件。
  • L3(事件响应层):负责损失控制和取证分析。
  • L4(安全管理层):负责日常安全管理及审核,如账户管理、权限审查等。

11. 日志收集、分析与告警

日志收集和分析是企业安全管理的重要环节,日志源包括:

  • 关键日志来源:代理服务器、邮件服务器、防火墙、身份认证服务器等。
  • Windows与Linux日志管理:Windows使用事件日志,Linux通过syslog管理。
  • 日志分析工具:如Splunk进行日志集中收集、分析和可视化,以便快速识别潜在威胁。

12. 事件响应与处理

事件响应流程由准备、检测、响应、恢复和事后分析五个阶段组成:

  • 准备:培训和演练,确保组织能够应对各种安全事件。
  • 检测与分析:通过监控和日志分析快速识别潜在威胁。
  • 遏制与恢复:有效控制事件影响并恢复系统正常状态。
  • 事后分析:总结经验,完善流程。

13. 威胁情报

威胁情报管理能提供外部威胁预警信息,关键工具包括:

  • STIX/TAXII协议:实现情报自动化收集和共享。
  • AlienVault OTX:开放情报平台,提供实时威胁信息。
  • 妥协指标(IOC):如文件哈希和恶意URL,帮助快速识别已知威胁。

14. 入侵检测与防御

IDS和IPS是企业安全防护的重要手段:

  • IDS与IPS配置:使用Snort、Fortinet等设置入侵检测与防御规则。
  • 流量分析与阻断:通过流量分析识别恶意行为并主动阻断。

15. 应急响应手册

应急响应手册详列各种安全事件的处理流程:

  • 事件类型:包括扫描、托管威胁、入侵、恶意内容、拒绝服务等事件。
  • 结构化响应:针对每类事件制定标准操作程序(SOP),确保快速响应。
  • 演练与沟通:通过模拟演练提升团队响应能力,及时更新手册内容。

各安全事件类别及相关情况:

  • 1、PB01 扫描

    PB01.1 IP 地址扫描:涉及对 IP 地址进行扫描相关的应急处理操作。
    PB01.2 端口扫描:针对端口扫描情况制定的应急操作流程。

  • 2、PB02 托管威胁

    PB02.1 病毒隔离:当检测到病毒时采取隔离措施的操作规范。
    PB02.2 检测到登录尝试失败:针对登录尝试失败情况的应急响应步骤。
    PB02.3 检测到已知漏洞:在发现已知漏洞时应执行的操作程序。

  • 3、PB03 入侵

    PB03.1 检测到入侵指示:明确在检测到有入侵迹象时的应对操作。
    PB03.2 非特权帐户泄露:针对非特权帐户泄露事件的处理流程。
    PB03.3 未经授权的权限提升:对于出现未经授权提升权限情况的应急措施。
    PB03.4 恶意员工活动:处理员工从事恶意活动的相关操作规范。
    PB03.5 管理帐户泄露:在管理帐户泄露时应采取的行动步骤。

  • 4、PB04 可用性

    PB04.1 拒绝服务 (DOS/DDOS):应对拒绝服务攻击(包括 DOS 和 DDOS)的操作流程。
    PB04.2 破坏:针对系统等被破坏情况的应急处理程序。

  • 5、PB05 信息

    PB05.1 未经授权访问信息:处理未经授权访问信息事件的操作规范。
    PB05.2 未经授权修改信息:在发现未经授权修改信息时应执行的步骤。
    PB05.3 数据泄露:针对数据泄露情况制定的应急措施。

  • 6、PB06 欺诈

    PB06.1 未经授权使用资源:对于未经授权使用资源这类欺诈行为的处理流程。
    PB06.2 侵犯版权:处理侵犯版权欺诈事件的操作规范。
    PB06.2 欺骗身份:应对欺骗身份欺诈情况的应急措施。

  • 7、PB07 恶意内容

    PB07.1 网络钓鱼电子邮件:处理网络钓鱼电子邮件的操作步骤。
    PB07.2 恶意网站:针对恶意网站的应急处理程序。
    PB07.3 受感染的 U 盘:在遇到受感染的 U 盘时应采取的行动。

  • 8、PB08 恶意软件检测

    PB08.1 病毒或蠕虫:针对检测到病毒或蠕虫时的应急操作流程。
    PB08.2 勒索软件:处理勒索软件的相关操作规范。
    PB08.3 APT:应对高级持续性威胁(APT)的应急措施。

  • 9、PB09 技术诚信

    PB09.1 网站污损:处理网站污损情况的应急操作流程。
    PB09.2 DNS 重定向:针对 DNS 重定向情况制定的应急措施。

  • 10、PB10 盗窃

    PB10.1 盗窃资产:在发生资产盗窃事件时应采取的行动步骤。

16. 网络杀伤链模型

网络杀伤链模型通过七个阶段帮助企业了解并阻断攻击路径:

  1. 侦察:收集目标信息。
  2. 武器化:定制攻击工具。
  3. 投送:将工具传至目标系统。
  4. 利用:触发漏洞获得初步访问。
  5. 安装:植入恶意软件以确保控制权。
  6. 指挥与控制:远程操控系统。
  7. 行动:执行攻击意图。

17. 事件检测与响应

企业需建立完善的事件检测与响应流程,涵盖以下步骤:

  • 事件上报与日志分析:系统监控和日志分析发现事件。
  • 分级与响应:根据事件影响启动分级响应。
  • 取证与恢复:收集证据、确认安全后恢复系统。

18. 文件管理与Snort条件设置

Snort通过规则文件管理网络活动的监控条件,主要规则包括:

  • 规则字段:如alertmsgsid,用于定义监控条件。
  • 本地账号监控:自定义规则检测异常活动,增强安全管理。

19. 外部规则集与Snort部署

外部规则库与合理部署能增强Snort的检测能力:

  • 外部规则集:如Proofpoint和Emerging Threats,帮助拓宽Snort的检测范围。
  • In-Line部署与阻断操作:将Snort部署在流量路径中,实时检测和阻断恶意流量。

20. 总结

概述了企业网络安全架构的关键组成部分,从网络分区、云部署到SOC管理和应急响应手册,为企业构建全面的网络安全防护体系提供了切实可行的操作框架。通过标准化流程、层级化管理、定期演练与持续优化,企业可以有效减少安全事件发生概率,提高应急响应能力,保障业务连续性。

常见的英文及其含义

以下是企业网络架构及网络安全相关术语的表格:

英语解释
CIO(Chief Information Officer) 首席信息官
CTO(Chief Technology Officer) 首席技术官
CISO(Chief Information Security Officer) 首席信息安全官
CFO(Chief Financial Officer) 首席财务官
CRO(Chief Risk Officer) 首席风险官
BYOD(Bring Your Own Device) 自带设备
ITIL(Information Technology Infrastructure Library) 信息技术基础设施库
DMZ(Demilitarized Zone) 非军事区
VPN(Virtual Private Network) 虚拟专用网络
SOC(Security Operations Center) 安全运营中心
ISMS(Information Security Management System) 信息安全管理体系
ISM3(Information Security Management Maturity Model) 信息安全管理成熟度模型
LDAP(Lightweight Directory Access Protocol) 轻量级目录访问协议
AD(Active Directory) 活动目录
SAN(Storage Area Network) 存储区域网络
NAS(Network Attached Storage) 网络附加存储
SoL(Serial over LAN) 串行局域网协议
VMware 威睿(提供虚拟化和云计算软件及服务的公司)
vSphere 威睿的虚拟化平台产品
vCenter 管理 vSphere 环境的软件
Proxmox 开源的服务器虚拟化管理平台
Hadoop 分布式系统基础架构,用于大数据处理
DataBricks 提供数据处理和分析平台的公司
Cloudera 提供基于 Hadoop 的大数据解决方案的公司
Google BigQuery 谷歌大数据分析服务
Oracle BigData 甲骨文大数据相关产品或服务
Amazon EMR(Elastic MapReduce) 亚马逊大数据处理服务,基于 Hadoop
Azure Data Lake Storage 微软 Azure 的数据湖存储服务
Azure HDInsight 微软 Azure 的大数据分析服务
MongoDB 非关系型数据库(NoSQL)
Redis 内存数据结构存储系统,常用于缓存和消息队列
Azure CosmosDB 微软 Azure 的分布式数据库服务
AWS DynamoDB AWS 提供的非关系型数据库服务
SQLite 轻量级嵌入式数据库引擎,常用于移动设备等
MariaDB MySQL 分支的开源关系型数据库管理系统
PostgreSQL 开源关系型数据库管理系统
Oracle SQL 甲骨文的 SQL 数据库产品
Microsoft SQL Server 微软的关系型数据库管理系统
MySQL 开源关系型数据库管理系统
SMB/CIFS(Server Message Block/Common Internet File System) 服务器消息块 / 通用互联网文件系统
IPC(Inter-Process Communication) 进程间通信
SABSA(Sherwood Applied Business Security Architecture) 舍伍德应用商业安全架构
CREST(Council of Registered Ethical Security Testers) 注册道德安全测试员委员会
Cyber Hunting 网络狩猎
MITRE ATT&CK MITRE 开发的网络攻击行为描述框架
IOC(Indicator of Compromise) 妥协指标,用于识别恶意活动
STIX(Structured Threat Information Expression) 威胁情报标准格式
TAXII(Trusted Automated Exchange of Intelligence Information) 智能信息自动交换协议
AlienVault OTX 开放威胁交换服务
Snort 开源网络入侵检测和防御系统
DAQ(Data Acquisition) 数据采集
IDS(Intrusion Detection System) 入侵检测系统
IPS(Intrusion Prevention System) 入侵防御系统
AIDE(Advanced Intrusion Detection Environment) 高级入侵检测环境
PDCA(Plan-Do-Check-Act) 计划、执行、检查、处理(质量管理方法)
JITA(Just-In-Time Access) 即时访问,零信任架构的关键特征
LPA(Least Privilege Access)或 JEA(Just Enough Access) 最小权限访问
posted @ 2024-11-12 18:22  whitehe  阅读(48)  评论(0)    收藏  举报  来源