iT邦幫忙

鐵人檔案

第 12 屆 iThome 鐵人賽
回列表
Elastic Stack on Cloud

一目了然的資訊保健 系列

運用ES協助資訊

鐵人鍊成 | 共 30 篇文章 | 10 人訂閱 訂閱系列文 RSS系列文
DAY 21

21-誘餌防禦戰術

針對Zero Day 或APT 攻擊這種難以防禦、監控的方式,其一種被動偵測方式是使用蜜罐(honeypot),利用駭客或腳本不清楚環境架構在做偵查時做告警 T...

2020-09-21 ‧ 由 Eugene 分享
DAY 22

22-資料生命週期

收集的資料久了,資料存的量越來越多,就會面臨到硬碟空間不夠,或是搜尋時間變長等等。 elasticsearch-dump 用於移動和保存Index的工具。 gi...

2020-09-22 ‧ 由 Eugene 分享
DAY 23

23-實作CVE-2020-1472監控-上

這章針對CVE-2020-1472這類攻擊,試著用各種監控、防護手段去阻擋 首先評估可能可以偵測的方法有: Packagebeat收封包表頭,在kibana上...

2020-09-23 ‧ 由 Eugene 分享
DAY 24

24-實作CVE-2020-1472監控-中

接續上一章,寫出規則,並開始監控一段時間後,收到了新的情資,該漏洞被武器化了,搭配Mimikatz 並將流量加密,之前的規則已經偵測不到了。 三秒入侵 Wind...

2020-09-24 ‧ 由 Eugene 分享
DAY 25

25-實作CVE-2020-1472監控-下

這章嘗試看看其他工具能偵測到跡象 Sysmon 昨天從WindowsEvent可以偵測,網路上有一些資料說可以sysmon看到更多資訊介紹可以參考 網管人:安裝...

2020-09-25 ‧ 由 Eugene 分享
DAY 26

26-與主機型入侵檢測系統合作

這章測試Elastic SIEM的朋友? Wazuh也是基於ELK架構的SIEM,不過不是Elastic公司開發的,Wazuh是OSSEC(開源的基於主機的入...

2020-09-26 ‧ 由 Eugene 分享
DAY 27

27-日誌分析挖掘

在15章講過利用Logstash 的Grok做資料欄位切割並傳到Elasticsearch,這章來講一下利用資料探勘來進一步做分析 資料探勘(英語:data m...

2020-09-27 ‧ 由 Eugene 分享
DAY 28

28- Elastic Stack中的機器學習

這章來介紹一下 Elastic Cloud 一直再推的機器學習功能,看起來應該是用離群值等方式做判斷,對這不是很熟,就照著介紹操作。 參考: Putting a...

2020-09-28 ‧ 由 Eugene 分享
DAY 29

29-效能測試

這章介紹Elasticsearch 效能測試的工具 查了一下有人問Elastic Cloud是否可以作效能測試,從官方回覆說可以使用Rally (當然不要再正式...

2020-09-29 ‧ 由 Eugene 分享
DAY 30

完賽

Elastic 其實有許多功能、像API Query之類的運用上才能稱作數據分析,不過這一次許多主題都不夠時間寫,想說靠鐵人賽的機會逼自己多學些東西,不過沒算到...

2020-09-30 ‧ 由 Eugene 分享