摘要:
https://x.threatbook.com/ RedQueen威胁情报中心 (tj-un.com) 阅读全文
摘要:
MDE 告警 Suspicious File Permission Modifications via Icacls "Suspicious File Permission Modifications via Icacls"(通过Icacls的可疑文件权限修改)指的是使用Windows系统中的ica 阅读全文
摘要:
为什么需要Threat Hunting 攻击者已经突破边界 ,但是隐藏在内部系统中 Threat Hunting的5个步骤 提出假设 数据收集 分析 验证假设 报告 https://www.youtube.com/watch?v=X32jRODGvpM https://www.youtube.com 阅读全文
摘要:
ActionType 在Microsoft Defender for Endpoint (MDE) 中,DeviceProcessEvents 表记录了与设备上进程相关的各种事件。这些事件涵盖了进程在设备上的不同操作或动作类型。以下是一些主要的动作类型及其说明: 进程创建(ProcessCreate 阅读全文
摘要:
在 Microsoft Defender for Endpoint (MDE) 中,可以监控和查询多种事件类型。这些事件类型覆盖了从设备安全、网络活动、软件和服务运行情况到用户行为等各个方面。以下是一些主要的事件类型,你可以在 MDE 使用 KQL 进行查询: 设备事件 (DeviceEvents) 阅读全文
摘要:
KQL,即Kusto Query Language,是一种用于查询大规模数据集(如日志、数据库、文件等)的强大查询语言。它主要用于Azure Data Explorer和Microsoft 365 Defender等服务。KQL包含多种类型的语句和操作符,以支持复杂的数据探索和分析。 KQL(Kus 阅读全文
摘要:
使用阿里云的日志服务(SLS)来分析一个网站的访问日志。 这些日志包含字段如status(HTTP状态码),url(访问的URL),和timestamp(访问时间戳)。 例子 1:按HTTP状态码分类统计 假设你想要了解不同HTTP状态码的出现频率,可以使用以下查询语句: * | SELECT st 阅读全文
摘要:
阿里云的否定语法 在阿里云的日志服务(SLS, Simple Log Service)中,构建查询语句时,使用否定条件可以排除某些不需要的记录。否定条件通常是通过NOT关键字实现的。例如,如果你想查询不包含某个特定关键词的日志,你可以使用类似以下的查询语句: * NOT 关键词 这里的*表示选择所有 阅读全文
摘要:
HTTP(超文本传输协议)是一种用于传输网页(HTML)、图片、视频和其他资源的应用层协议。HTTP 协议的主要组成部分包括请求和响应,每个部分又包含了几个关键的元素。以下是这些组成部分的详细说明和示例: 1. HTTP 请求 HTTP 请求由客户端(通常是网页浏览器)发出,向服务器请求数据或执行某 阅读全文
摘要:
为什么需要Cookie? Cookie 的需求主要是由于 HTTP 协议的无状态性质。HTTP 是一个无状态的协议,这意味着服务器并不自然地保持客户端的状态信息。Cookie 为这个问题提供了解决方案,具体原因包括: 会话管理: 用户身份验证:在用户登录到网站后,Cookie 可以保存登录状态,允许 阅读全文