cc防御_香港cdn高防ip_云网站服务器ddos防护-51首防安全

当前位置:主页 > 服务器防御 > 本文内容

阿里增加高防ip_国外_网站怎么防御攻击

发布时间:2021-02-23 17:06源自:51首防安全作者:51首防安全阅读()

阿里增加高防ip_国外_网站怎么防御攻击

许多安全团队使用端点威胁检测解决方案来检测和响应恶意软件、凭证盗窃等威胁。在使用SIEM或日志管理解决方案的通用体系结构中,可以管理来自端点检测产品的警报,并将其与来自其他解决方案或日志的遥测关联起来,什么盾防御ddos,免费的ddos防御,并对其进行验证:一般来说,从第三步开始,人类就必须参与其中。我们能做得更好吗?我们将使用一个典型的体系结构和一个真正的端点威胁检测解决方案(Sysdig Falco)以及Splunk作为我们的SIEM,我们将向您展示如何使用Komand来自动化检测、充实、通知和响应。设置:我们的威胁检测架构下面,我们将为AWS环境提供一个典型的体系结构。我们的bastion主机代表了所有登录活动的集中阻塞点;任何用户都必须在这里登录,然后才能访问我们的虚拟私有云中的任何服务器。所有登录活动都受到Duo-Security 2FA身份验证的保护。在VPC中的每个EC2服务器上,我们都配置了一个开源的端点威胁检测和响应工具Sysdig Falco来执行安全监控。Falco是一个简单的产品,允许您配置规则以触发Linux主机上的可疑行为。来自Falco的警报直接输入Splunk,这将触发元警报,我们将能够通过Komand探测到。例如,我们配置了一个Splunk警报,它在服务器上未经授权的权限升级时触发,正如sysdigfalco报告的那样。原始事件如下所示:20: 27:05.363221899:检测到警告Sudo/su权限提升。(rule=privilege\u escalation user=jandre command='sudo bash')作为验证和响应此潜在威胁的工作流的一部分,响应此警报的安全团队需要在工作流的各个阶段执行其他步骤。示例活动包括:舞台关于示例频率误差灵敏度丰富,或上下文收集在安全分析员能够确定威胁范围并确定它是误报还是真正的违规之前,需要来自其他系统的上下文。通过Splunk查询bastion主机上的相关登录活动日志,使用GeoIP信息丰富登录活动日志中的IP地址非常频繁低通知或升级一旦潜在威胁可疑,可能会通知其他团队成员进行更多的调查,或创建一个记录单,用其他可疑工件跟踪此事件。制作一张罚单,并将其分配给一名高级团队成员进行调查,要求该员工验证他们是否记得曾进行过可疑行为中等低到中等(可能导致挫败或效率低下-发生过多的误报通知)回应如果威胁得到确认,应采取措施遏制威胁。如果怀疑有违规行为,可能需要进行额外的法医活动禁用用户帐户罕见的高(发生错误时可能会导致业务中断)像这样的过程可能需要几个小时来手动执行。使用Komand,我们可以自动化调查->响应的所有阶段的活动,将时间缩短到30分钟甚至更短。作为对端点威胁的响应的一部分,我们将演示使用Slack实现通知部分的自动化,以及通过禁用用户帐户在Duo Security中包含用户帐户。第一部分响应喷溅警报:配置Komand Splunk触发器使用Komand的Splunk警报触发器,我们可以挂起权限提升警报以实现自动化。只需提供我们要检测的飞溅警报的名称即可:就这样!现在我们已经准备好针对我们的Splunk警报执行自动化了!第二部分丰富原始警报我们从Splunk得到的警报没什么用。记住,这是Sysdig falco发出的警报:20: 27:05.363221899:检测到警告Sudo/su权限提升。(rule=privilege\u escalation user=jandre command='sudo bash')我们还将从Splunk(源主机名)获取一些信息。作为一个分析员,我可能希望将此活动与用户帐户的登录活动关联起来:只需对照历史记录快速检查一下用户是否从新的或不寻常的位置登录。记住,ddos攻击防御系统搭建,linuxcc防御,日志在堡垒主机上。使用另一个Splunk查询,我可以从bastion主机获取以下信息:然后,可以根据GeoIP查找数据库对显示为login\u-IP的IP地址进行评估,以获得登录者的完整信息,以及在何处登录。好消息是我们可以使用Komand自动化这些后续查询,然后使用我们的GeoIP插件来查找主机信息!使用Splunk search操作,让我们在bastion host上查询日志中引用的用户帐户:我们还可以添加使用GeoIP插件将登录信息与位置查找关联起来:这只是针对Splunk警报执行的扩展任务的一个示例。从这里,您可以添加额外的扩展步骤:查询端点的活动命令,查找员工信息,cdn高防是什么意思,添加更多的Splunk查询。。。天涯海角!通知安全小组有了这些附加信息,让我们通过Slack为安全团队创建一个通知,并附加附加上下文:此时您可以选择在JIRA、ServiceNow或其他案例管理平台等解决方案中创建问题单。这完全取决于你和你的过程。Komand使修改流程变得很容易,并且在工作流生成器中使用我们的测试功能,您可以验证您的更改。在Komand中切换通知机制只需点击几下鼠标。执行人工验证响应如果证明凭据已被泄露,那么在我们的事件响应过程中禁用它们可能是合适的。我们可以很容易地在这里添加一个人工决策点,它允许我们验证是否应该同时禁用凭证,或者是否应该解除警报。通过Duo Admin API使用Duo modify user操作,我们可以将帐户设置为disabled,有效地阻止用户登录bastion主机,直到可以采取更彻底的调查操作。把它包起来这就是在Komand中构建一个检测调查通知响应工作流是多么容易。通过将现有工具与Komand的简单工作流自动化层相结合,您可以将流程执行时间从数小时缩短到几分钟,从而提高团队的生产力和可靠性。如果你想亲眼看看Komand的力量,你可以看看我们最近的演示网络研讨会录音。

欢迎分享转载→ 阿里增加高防ip_国外_网站怎么防御攻击

用户评论

验证码: 看不清?点击更换

注:网友评论仅供其表达个人看法,并不代表本站立场。

Copyright © 2002-2019 51首防安全 版权所有 备案号:粤ICP备xxxxxxxx号收藏本站 - 网站地图 - - -