2019年参加护网行动的时候,想着是信安专业,可以去赚点零花钱。
蓝队的工作。。。。。后面总结了一下护网行动和蓝队的一些工作重心。刚刚换电脑的时候翻出来了这个文章。只是个人拙见,大佬勿喷。
下面是我对红蓝对抗中蓝队工作的一些总结:
一、团队组建
在团队建设时,蓝队主要分为四个部门:
1、指挥中心:主要进行统筹,管控蓝队事务。
2、监测小组:主要对流量监控平台、日志平台等系统进行7*24小时监控;以保证可以及时的发现各种攻击行为,对攻击者的IP进行封堵。
3、快速反应小组:主要是配合监控小组对发现的攻击行为进行分析,判断攻击的真实性及危险性,提出处置建议,部分还有进行溯源。
4、应急保障小组:主要对演习过程中的各种突发的安全事件,进行及时的处理。
二、梳理资产
资产梳理,我们更好的了解企业系统架构,可以提前针对系统的安全性或脆弱面给出建议,可以在对抗过程中更加全面的对系统进行防御。资产信息主要包括业务资产、设备资产、外包/第三方服务资产等。
1、业务资产信息
业务系统名称、业务系统类型、服务器类型、域名/IP地址、服务端口、版本、系统部署位置、开发框架、中间件、数据库、责任人、维护人员
2、设备资产信息
设备名称、设备版本号、固件版本号、IP地址、部署位置、责任人、维护人员
3、外包/第三方服务资产信息
厂商联系方式、系统名称、系统类型、IP/URL地址、部署位置、责任人、维护人员、厂商联系方式、第三方值班人员
三、风险梳理
1、基础设施风险
主要对资产中各种网络设备,安全设备,服务器等进行检查,防患于未然,对已经发现的漏洞或不安全因素进行及时修补。
2、帐号权限梳理
弱口令是最简单,但是最直接的攻击方式。我们在账号权限管理过程中,主要对各种设备,系统、服务器的密码进行核查,防止出现弱口令、闲置口令、测试账号等。
3、互联网风险排查
主要是对企业的冗余资产进行检查,测试环境,旧版本系统,未使用但是没下线的系统等缺少维护的资产进行清理检查。
四、减少攻击面
进行完资产的梳理,我们对企业内部的资产的安全性已经有了一个了解,这个时候,我们需要根据我们资产梳理的结果进行收敛。
1、核心资产,重点防护;边缘资产,进行边界防护;不安全资产,及时整改防御
2、对不稳定,或者关闭之后影响较小的系统进行关闭,减少攻击面。或者仅开放核心业务系统。
3、培养企业员工的安全意识,防止出现钓鱼、社工攻击等行为。
附部分查看系统是否有可疑行为的方式
1、查看当前登录用户
query user
2、查看系统中所有的用户
(1)net user
(2)开始 运行 -lusrmgr.msc
(3)查看C:\User目录排查是否有新建用户的目录
3、查看是否有隐藏账号、克隆账号
(1)开始 运行 regedit
(2)查看注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 中是否有异常
4、注册表查看启动项
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
命令行查看启动项
wmic startup list full
组策略中查看启动项
运行 gpedit.msc
5、Recent目录
此目录可以看到程序或文件最后被打开和使用的日期
C:\Users\Administrator\Recent
6、windows日志
计算机-管理-事件查看器-windows日志-安全(或者eventvmr.msc)
根据时间排查安全日志中的登录事件,用户创建等事件情况。
着重寻找登录事件(ID4624)且登录类型为3和0的远程登录方式
windows安全日志文件:
C:\Windwos\System32\winevt\Logs\Security.evtx
查看其大小是否为20M左右,如果远远小于20M\zeyoukeneng被清理过。
7、排查可疑进程
查看可疑网络连接
netstat -b -n
根据网络连接寻找pid
netstat -ano | findstr xxx
根据pid寻找进程
tasklist | findstr xxx
杀死可疑进程
taskkill /T /F /PID xxxx
8、排查计划任务
schtasks /query /fo table /v
运行 -taskchd.msc
9、排查系统服务
运行service.msc
