cc防御_香港cdn高防ip_云网站服务器ddos防护-51首防安全

当前位置:主页 > 高防服务器 > 本文内容

服务器加防_能不能防_美国cn2gia高防

发布时间:2021-02-23 10:01源自:51首防安全作者:51首防安全阅读()

服务器加防_能不能防_美国cn2gia高防

恶意软件可以是一个狡猾的小野兽。一旦它出现在您的计算机或网络上,除非您明确地查找它,否则很难检测到它。在处理恶意软件时,不仅要知道要寻找的迹象,而且要知道一旦发现恶意软件,如何及时阻止它,以减少感染的传播,免费ddos防御系统,这一点极为重要。恶意软件的传播速度非常快,尤其是在公司范围内的电子邮件被用作通信和传输的主要方法的企业环境中。最后,您需要能够正确识别受感染主机上的恶意软件,从主机中删除恶意软件(并知道它确实已不存在),然后更新您的SIEM/IDS解决方案,防御ddos攻击s高防评价,以帮助您确定这种恶意软件不会再次攻击。让我们来看一些示例。恶意软件用例示例单一恶意软件事件一个很好的例子,你会遇到一个单一的恶意软件事件,当一个用户打开一个附件,从一个未知的来源在互联网上下载的东西。安全团队最终会通过两种方式发现这一点:用户承认他们下载了可能是恶意的东西您的IDS/防病毒解决方案在用户的Windows事件日志中检测到异常多用户事件恶意软件通常通过电子邮件传播到公司的多个用户。在大多数情况下,检测将与上述相同,但您必须在检索发送的电子邮件时采取另一步骤,以确定可能受同一类型恶意软件影响的所有用户。(你可以用Komand来做这个!)识别问题并更新IDS解决方案更新防病毒软件总是第一步,因为过时的版本可能不会感染新的恶意软件。总的来说,Windows事件日志将是你最好的朋友。尽管它们有点嘈杂,我们将使用Windows事件查看器过滤掉正常的活动并发现异常的地方。要正确识别事件日志中的可疑活动,您需要过滤掉正常计算机活动产生的"常见噪音"。最常见的方法是从所有Windows事件活动日志开始,然后只列出对恶意软件检测很重要的内容。要关注的日志包括:创造删除安装权限更改日志(请参阅下面的屏幕截图)如您所见,我在事件查看器中创建了一个自定义过滤器,只查看对恶意软件检测重要的内容。了解事件ID及其所做的将极大地帮助您完成此筛选过程。以下是一些常见的事件标识:事件IDWin7注册。表达式来源46244625号"。登录类型:[\W](3 | 10)。*"安全日志7034"。服务意外终止.."安全日志7040"。服务已从更改。"安全日志4697"。系统中已安装服务.."安全日志4688"。已创建新进程…"安全日志64004"。受保护的系统文件。"应用程序日志2"。模块记录了以下内容事件:。"应用程序日志您可以在这里找到事件ID的完整列表。一旦您确定了可以从日志中提取哪些事件,并且只将希望检测到的日志(即创建/新进程)列入白名单,现在就可以使用黑名单进一步减少噪音。这里的想法是从上面创建的预先确定的白名单中删除"正常"噪音。例如,"新进程已启动"之类的事件或计算机在正常工作日将进行的任何正常登录。不过,也要注意这些事件的时间安排。也许您希望在正常工作时间过滤掉登录日志,因为它们太嘈杂了,但最好在下班时间重新启用它们,以便查看任何在非正常时间登录的用户。在收集了一周左右的事件日志之后,您需要对它们进行筛选,以确定在您的业务/公司中什么是正常的。这是通过右键单击eventid列并对列表排序,然后对列表进行分组来完成的。这将对事件进行排序,然后按事件ID对它们进行分组。正如您在下面看到的,您现在能够看到哪些事件比其他事件更频繁地被使用。现在你有了一个确定什么是"正常"活动的过程。你会想把这些加入你的黑名单。你有两层过滤器,你的Windows日志现在必须通过。这将为您留下在用户计算机上发生的最独特的事件ID。最后,您将需要设置您的ID来查看这些剩余的日志,以寻找初始妥协的迹象—这可以由一个分析师首先手动完成,然后他将只更新相关项目的ID。一个常见的折衷迹象是进程名,因为它们拼写错误而通过了两个过滤器。这是用来隐藏恶意软件而不被人眼发现。下面是一些拼写错误的进程名称与它们应该是什么样子的示例:拼写错误的示例:scvhost.exe色度.exedlllhost.exe拼写正确的示例:隔离威胁所有恶意软件都需要某种类型的控制/删除操作。这里的主要目标是阻止病毒传播到其他机器上,硬件防御ddos,并防止对受感染的计算机造成任何损害。有几种方法可以包含已确认的恶意软件事件:用户控制在这里,什么无法有效防御DDOS,用户或安全团队的人员将采取措施隔离恶意软件(物理上将其从地板上移除、关闭电源等)。自动控制这是您的防病毒/反恶意软件解决方案或安全协调和自动化解决方案,如Komand。许多常见菌株将被自动检测和分离。但是,如果防病毒软件过时或恶意软件尚未被发现,新的恶意软件可能会侥幸过关。失去服务/连接控制以物理或数字方式断开计算机与网络的连接。方法各有利弊。下面是一个很好的用例示例,可以应用于您的情况:恶意软件是通过IDS系统的自动警报在公司机器上发现的。安全团队能够通过将警报上的IP地址解析为特定的计算机名称及其位置来响应警报。由于安全团队每天备份公司的C:/drives,他们不太担心数据丢失。他们以数字方式断开机器与网络的连接,然后将其从地板上移除,以便进一步分析。同时,被感染机器的用户会得到一台临时计算机,在那里每天都会上传备份,这样员工就可以继续工作而不会有太多的延迟。上面的示例是基于您的IDS/SIEM发现一个被确定为恶意的预过滤进程。对于用户报告的结果,您需要记住手动更新您的id以找到它们,因为它们显然是被传递给用户的。作为一个安全团队,您需要根据上面的模型在内部确定隔离机器的最佳方法。NIST和SAN提供恶意软件事件响应程序的最佳实践指南。更多的安全深度探索,高防御ddos服务,请参阅我们的其他文章:事件调查:一切都与背景有关微调入侵检测系统以减少误报使用AWS访问密钥作为蜜令牌的预警探测器

欢迎分享转载→ 服务器加防_能不能防_美国cn2gia高防

用户评论

验证码: 看不清?点击更换

注:网友评论仅供其表达个人看法,并不代表本站立场。

Copyright © 2002-2019 51首防安全 版权所有 备案号:粤ICP备xxxxxxxx号收藏本站 - 网站地图 - - -