採證人員: 有問題的主機是哪一台呢 現場窗口: 不知道耶,好像是這台(隨便指一台拔掉插頭的電腦) 採證人員: 登入主機,誒誒不是說windows嗎,怎麼這台是l...
收到了採證硬碟 鑑識人員: 來掛載起來看看,誒誒怎麼打不開,採證人員不要只有算完Hash,要檢查看看啊,現場萬一覺得採證完就格式化就 啪! 沒了! 實作 用FT...
情境 經歷過前面的事件調查都有初步的報告,並且已經補上幾個洞,準備到下個階段,途徑盤查PS:等待完整鑑識報告的時間通常比較久,可能會到一個月 通常一起事件不會只...
決心 正在服務的機器出事情的時候敢不敢拔網路線,要通報到哪個層級才能決定,判斷處理的時間多長 為什麼會不敢處理? 因為沒辦法下決定、無法扛責任 為什麼沒辦法下決...
自動化中情資交換有一個統一的格式STIX,許多防禦設備支援該方式,目前技術服務中心推行區域聯防就是用該格式https://www.nccst.nat.gov.t...
實作 以網站上的Example來實作https://oasis-open.github.io/cti-documentation/stix/examples A...
藍隊防禦工具蠻多的,順手整理一下,在CDM上建議各類型都評估有沒有一項相對應的產品 Vulnerability Scanner NMAP 輕量系統弱掃工具...
說明 在寫這篇文章前先說明,這個項目很容易起爭議 防禦在自己環境是否有效是需要廠商配合、人工調教 有些評分高的產品需要很多人力介入,有些需要買完整套方案才有效...
接著前一章 檢測的類別可以到以下連結查看定義,直接看說明可能不清楚,以下直接實例解釋https://attackevals.mitre-engenuity.or...
Enterprise Evaluation 是可以修改設定後在做複測 看3.A.5 情境是rundll32.exe 生成 cmd.exe 然後 powershe...