針對Zero Day 或APT 攻擊這種難以防禦、監控的方式,其一種被動偵測方式是使用蜜罐(honeypot),利用駭客或腳本不清楚環境架構在做偵查時做告警 T...
收集的資料久了,資料存的量越來越多,就會面臨到硬碟空間不夠,或是搜尋時間變長等等。 elasticsearch-dump 用於移動和保存Index的工具。 gi...
這章針對CVE-2020-1472這類攻擊,試著用各種監控、防護手段去阻擋 首先評估可能可以偵測的方法有: Packagebeat收封包表頭,在kibana上...
接續上一章,寫出規則,並開始監控一段時間後,收到了新的情資,該漏洞被武器化了,搭配Mimikatz 並將流量加密,之前的規則已經偵測不到了。 三秒入侵 Wind...
這章嘗試看看其他工具能偵測到跡象 Sysmon 昨天從WindowsEvent可以偵測,網路上有一些資料說可以sysmon看到更多資訊介紹可以參考 網管人:安裝...
這章測試Elastic SIEM的朋友? Wazuh也是基於ELK架構的SIEM,不過不是Elastic公司開發的,Wazuh是OSSEC(開源的基於主機的入...
在15章講過利用Logstash 的Grok做資料欄位切割並傳到Elasticsearch,這章來講一下利用資料探勘來進一步做分析 資料探勘(英語:data m...
這章來介紹一下 Elastic Cloud 一直再推的機器學習功能,看起來應該是用離群值等方式做判斷,對這不是很熟,就照著介紹操作。 參考: Putting a...
這章介紹Elasticsearch 效能測試的工具 查了一下有人問Elastic Cloud是否可以作效能測試,從官方回覆說可以使用Rally (當然不要再正式...