iT邦幫忙

Eugene
iT邦研究生 5 級 ‧ 點數 1771
ABC公司
64532
累計瀏覽數
站內簡訊 追蹤

鐵人檔案

2022 iThome 鐵人賽
回列表
Security

none 系列

none

鐵人鍊成 | 共 36 篇文章 | 5 人訂閱 訂閱系列文 RSS系列文
0 Like 0 留言 625 瀏覽
DAY 1

1-1. 被駭了 - 緊急應變

情境 口袋裡的手機隨著行進捷運的晃動不斷的震動唉又怎麼了一大早就有事情,該不會又是昨天那台主機CPU滿載又當機了吧 拿起手機看到訊息Critical Alert...

2022-09-16 ‧ 由 Eugene 分享
0 Like 0 留言 1064 瀏覽
DAY 2

1-2. 災情確認 - 使用Splunk實作

說明 前一章節處理過程中"遠端連線到SIEM平台,查看該事件來源IP也嘗試對多台主機攻擊的Events" 因為對告警訊息信心度不夠,因此透過...

2022-09-17 ‧ 由 Eugene 分享
0 Like 0 留言 834 瀏覽
DAY 3

1-3. 災情確認 - 使用Splunk實作 2

情境 前面發現 40.80.148.42 這個 IOC (Indicator of compromise),通知防火牆阻檔, 同時間網站Server已經離線,I...

2022-09-18 ‧ 由 Eugene 分享
0 Like 0 留言 649 瀏覽
DAY 4

1-4 - 即刻救援 - 控制、防堵

情境 我這邊發現新的IOC麻煩加到防火牆阻擋 廠商該查到相關的情資,請加防毒 把IOC拿去SIEM查看看是否有橫向擴散的情況啊! 主管在問處理情況,快整理一下回...

2022-09-19 ‧ 由 Eugene 分享
0 Like 0 留言 604 瀏覽
DAY 5

1-5 - 事件通報

情境 在做應變處理的同一時間,另一組人馬正在忙著整理資料做通報 時間從Incident爆發後一段時間了,先跟上級單位報告現況吧 內容要包含初步受害評估、可能發生...

2022-09-20 ‧ 由 Eugene 分享
0 Like 0 留言 931 瀏覽
DAY 6

1-6 哪裡有規定要這樣做

情境 你這流程怪怪的,是不是沒有確實執行 恩... 來看一下美國聯邦政府及美國公共電力協會的IR Playbooks怎麼做 說明 Federal Governm...

2022-09-21 ‧ 由 Eugene 分享
0 Like 0 留言 854 瀏覽
DAY 7

1-7 調查 - 使用Splunk實作 3

查看對受害網站post的紀錄 過濾掉弱掃軟體的特徵 (form_data表示只看該Field的資料) 看到一堆內容包含帳密,有可能被帳密爆破 http_meth...

2022-09-22 ‧ 由 Eugene 分享
0 Like 0 留言 469 瀏覽
DAY 8

1-8 啟動調查

情境 集合相關人員,開始現狀報告 你判定該事件為L1,為什麼?主管表示出不同意 只是網站被駭,我們切換備站後就沒事了... 該網站有存放一些資料,依據資料機密等...

2022-09-23 ‧ 由 Eugene 分享
0 Like 0 留言 569 瀏覽
DAY 9

1-9 使用Splunk實作 4-1

1-7 查到主機"we1149srv"有異常,加到關鍵搜尋 2016-08-10 14:56:18 host we1149srv 3791...

2022-09-24 ‧ 由 Eugene 分享
0 Like 0 留言 837 瀏覽
DAY 10

1-10 用Splunk實作 4-2

接著上一章IDS觸發的規則,選Domain Lookup,來查看C2的FQDNindex="botsv1" "Cerber&quo...

2022-09-25 ‧ 由 Eugene 分享
Eugene的鐵人檔案
Eugene的收藏
Eugene的追蹤
Eugene的Like
Eugene的紀錄
Eugene的訂閱列表