2024年1月11日
邮件安全怎么防护
摘要: 基本防护 1.发件的IP和domian的信誉值 2.DMARC的验证 防止外部伪造 3. LDAP验证,内部邮件的是否存在 晋级防护 邮件的病毒扫描 AV 邮件的反垃圾AS 邮件的文件的内容附件的防护 AMP 高级防护 FED 邮件伪造防护 cisco ESA的功能特点 AS Filtering C 阅读全文
posted @ 2024-01-11 10:03 安全泰哥 阅读(71) 评论(0) 推荐(0)
如何根据邮件样本分析是否为容易软件
摘要: 如何根据邮件样本分析是否为容易软件 发件人身份: 检查发件人的电子邮件地址,看它是否来自一个可信赖的源。有时,恶意邮件会伪造看似合法的电子邮件地址。 检查邮件头部信息: 邮件头部信息包含了关于邮件路径和来源的详细信息。通过检查这些信息,可以发现邮件是否被伪造。 邮件内容: 恶意邮件通常包含诱导性的语 阅读全文
posted @ 2024-01-11 09:22 安全泰哥 阅读(36) 评论(0) 推荐(0)
2024年1月8日
KQL如何写和表示 winodws的文件路径
摘要: 在 Kusto Query Language (KQL) 中表示 Windows 文件路径时,需要特别注意路径分隔符和转义字符。Windows 文件系统通常使用反斜杠 \ 作为路径分隔符,但在 KQL 查询中,反斜杠是一个特殊字符,用作转义字符。因此,当你在 KQL 查询中写入 Windows 路径 阅读全文
posted @ 2024-01-08 17:14 安全泰哥 阅读(122) 评论(0) 推荐(0)
MDE KQL 使用案例
摘要: 查找程序的 网络通信情况 DeviceNetworkEvents | where Timestamp > ago(30d) | where InitiatingProcessFileName == "example.exe" | project Timestamp, DeviceName, Init 阅读全文
posted @ 2024-01-08 17:09 安全泰哥 阅读(24) 评论(0) 推荐(0)
威胁情报厂商
摘要: ​分享几个威胁情报平台 - SecPulse.COM | 安全脉搏 01、国内威胁情报平台 1、微步在线 https://x.threatbook.cn/ 2、天际友盟RedQueen安全智能服务平台 https://redqueen.tj-un.com/ 3、360威胁情报中心 https://t 阅读全文
posted @ 2024-01-08 09:19 安全泰哥 阅读(259) 评论(0) 推荐(0)
2024年1月4日
Splunk教程
摘要: Splunk Fundamentals for Users and Power Users Demystifying the Splunk CIM (youtube.com) 阅读全文
posted @ 2024-01-04 19:30 安全泰哥 阅读(108) 评论(0) 推荐(0)
2024年1月3日
MDE告警
摘要: MDE 告警 Suspicious File Permission Modifications via Icacls "Suspicious File Permission Modifications via Icacls"(通过Icacls的可疑文件权限修改)指的是使用Windows系统中的ica 阅读全文
posted @ 2024-01-03 15:02 安全泰哥 阅读(54) 评论(0) 推荐(0)
MDE DeviceProcessEvents
摘要: ActionType 在Microsoft Defender for Endpoint (MDE) 中,DeviceProcessEvents 表记录了与设备上进程相关的各种事件。这些事件涵盖了进程在设备上的不同操作或动作类型。以下是一些主要的动作类型及其说明: 进程创建(ProcessCreate 阅读全文
posted @ 2024-01-03 14:54 安全泰哥 阅读(52) 评论(0) 推荐(0)
MDE DeviceFileEvents
摘要: 在 Microsoft Defender for Endpoint (MDE) 中,可以监控和查询多种事件类型。这些事件类型覆盖了从设备安全、网络活动、软件和服务运行情况到用户行为等各个方面。以下是一些主要的事件类型,你可以在 MDE 使用 KQL 进行查询: 设备事件 (DeviceEvents) 阅读全文
posted @ 2024-01-03 14:53 安全泰哥 阅读(105) 评论(0) 推荐(0)
KQL的结构
摘要: KQL,即Kusto Query Language,是一种用于查询大规模数据集(如日志、数据库、文件等)的强大查询语言。它主要用于Azure Data Explorer和Microsoft 365 Defender等服务。KQL包含多种类型的语句和操作符,以支持复杂的数据探索和分析。 KQL(Kus 阅读全文
posted @ 2024-01-03 14:53 安全泰哥 阅读(396) 评论(0) 推荐(0)