码迷,mamicode.com
首页 > 其他好文 > 详细

EDR告警分析

时间:2020-07-05 17:12:28      阅读:143      评论:0      收藏:0      [点我收藏+]

标签:使用情况   启动   运用   team   info   电脑桌面   图片   评估   根据   

告警分析分类:

  1. 规则类告警分析
  2. 情报类告警分析
  3. 日志hunting分析
  4. 报告编写

1.规则类告警分析:

mimikatz攻击

技术图片

 

检测到后需要分析执行命令,是否存在以上特定参数,若有则属实。

powershell无文件攻击

Powershell.exe可以从网络下载脚本内容并在内存中执行。

本地磁盘不会有脚本文件生成。

黑客常场利用powershell的这个特性来执行恶意脚本,躲避杀软的监控。

检测到后需要分析执行命令,是否有从外网下载文件的命令,观察下载文件的后续执行动作。

wmic无文件攻击

Wmic.exe跟powershell类似,可以从网络下载脚本并执行,不落硬盘。

常在进程命令中会有外网ip请求文件下载。

检测到后需要分析执行命令,是否有从外网下载文件的命令,观察下载文件的后续执行动作。

本身这种命令只要检测到就是不正常的!

Mshta无文件攻击

mshta通常会隐藏在word文档中,诱使用户点击后,触发外网攻击脚本下载。

hashdump攻击检测

lsass.exe进程内存中包含了用户账号密码的hash信息。

黑客会dump并解析lsass.exe内存,获取账户密码的hash信息。

这种场景需要查询下该进程对应文件MD5,在内网第一次出现是什么时候,找到第一台终端在进行溯源。

钓鱼邮件攻击检测

发送经过精心设计的钓鱼邮件,诱导用户运行恶意附件或链接是黑客经常利用的渗透方式。

通过记录和检索内网终端邮件来往的附件,确定失陷范围。

通常告警进程列表会包括outlook.exe,word.exe或者excel.exe等。

也会有一定误报,需要具体分析。

2.情报类告警分析:

IOC告警确认情报有效性

技术图片

 

详情查询

点击告警详情进入查看,IOC告警通常查看DNS访问和IP访问记录可以了解出发告警信息。

若是数量太多,可以复制告警进程MD5,到威胁追踪页面搜索,点击“告警事件”,点击过滤字段取消全选,看到host字段,就是命中IOC告警的域名或者IP。

也可以通过告警发现时间+告警进程MD5进行精确查询,例如:

技术图片

 

3.日志hunting分析:

终端进程定位

对网络告警通报进行终端定位核实,在“威胁追踪”页面直接搜索IP和域名查到具体的终端和进程信息。

根据进程树及运行命令进行分析判断。

对钓鱼邮件等终端攻击行为进行调查

通过威胁追踪,对钓鱼攻击行为进行调查及影响面评估

事例:疑似发现一个“采购表”的钓鱼邮件,调查攻击影响面。

方法:搜索钓鱼邮件附件标题,找到“邮件附件传输”日志,点击+按照“发件人”或者“收件人”统计。

对内部员工敏感信息暴露等行为进行检查

对日常办公场景下敏感数据暴露进行检查及评估范围

事例:通过威胁追踪搜索“密码”关键字,发现员工把公司重要资产的账号密码写到了excel或者txt,并放在电脑桌面或者移动硬盘上。

一旦域账户被窃取,公司的服务器权限都会被拿下。

根据移动存储设备SN号,确认攻击失陷范围

当发现某个病毒或者攻击样本疑似通过U盘进行投递,需要确认该攻击影响终端范围

事例:通过威胁追踪搜索U盘SN号,添加+筛选条件,按终端统计,则可以看到插入过该U盘的终端列表。

远控类等非办公软件使用检测

有些客户禁止终端使用远控类软件,但有员工还是为了远程运维方便,会偷偷使用向日葵或者teamviewer等工具

事例:通过查询进程名可以了解是否有相关进程的运行记录,例如:

技术图片

 

非办公时间联网终端异常检测

某些客户单位会对要求终端下班了关机,对非办公时间的使用情况进行异常监控,有可能会成为远控的目标机

事例:通过选择具体某一天,或者过去30天,然后搜索语句限定具体的时间段,例如凌晨到早8点前的日志信息。

技术图片

 

无签名进程注入系统进程检测

类似CS,通常会运用进程注入到系统进程,来达到持续在终端驻留的目的

事例:选择筛选条件,选出注入进程无签名,往带微软签名进程进行注入,查看详情,根据上下文信息判断是否为可疑。

对疑似沦陷终端进行调查

一个终端是否被攻击,往往需要配合该终端多个迹象或证据来辅助判断。

远程调查提供了可以一键提取聚合终端的日志信息的能力,如可以查看终端启动项,终端服务和计划任务等关键项信息。

事例:主要查看计划任务和启动项,是否有包括powershell,wmic或者

EDR告警分析

标签:使用情况   启动   运用   team   info   电脑桌面   图片   评估   根据   

原文地址:https://www.cnblogs.com/123456ZJJ/p/13246590.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!