iT邦幫忙

鐵人檔案

2022 iThome 鐵人賽
回列表
Security

none 系列

none

鐵人鍊成 | 共 36 篇文章 | 5 人訂閱 訂閱系列文 RSS系列文
DAY 21

1-21 主機採證

採證人員: 有問題的主機是哪一台呢 現場窗口: 不知道耶,好像是這台(隨便指一台拔掉插頭的電腦) 採證人員: 登入主機,誒誒不是說windows嗎,怎麼這台是l...

2022-10-06 ‧ 由 Eugene 分享
DAY 22

1-22 掛載採證檔案

收到了採證硬碟 鑑識人員: 來掛載起來看看,誒誒怎麼打不開,採證人員不要只有算完Hash,要檢查看看啊,現場萬一覺得採證完就格式化就 啪! 沒了! 實作 用FT...

2022-10-07 ‧ 由 Eugene 分享
DAY 23

2-1 堵上那個洞! 哪個洞?

情境 經歷過前面的事件調查都有初步的報告,並且已經補上幾個洞,準備到下個階段,途徑盤查PS:等待完整鑑識報告的時間通常比較久,可能會到一個月 通常一起事件不會只...

2022-10-08 ‧ 由 Eugene 分享
DAY 24

2-2 提高事件處理效率

決心 正在服務的機器出事情的時候敢不敢拔網路線,要通報到哪個層級才能決定,判斷處理的時間多長 為什麼會不敢處理? 因為沒辦法下決定、無法扛責任 為什麼沒辦法下決...

2022-10-09 ‧ 由 Eugene 分享
DAY 25

2-3 自動化情報交換-STIX

自動化中情資交換有一個統一的格式STIX,許多防禦設備支援該方式,目前技術服務中心推行區域聯防就是用該格式https://www.nccst.nat.gov.t...

2022-10-10 ‧ 由 Eugene 分享
DAY 26

2-4 自動化情報交換2-STIX

實作 以網站上的Example來實作https://oasis-open.github.io/cti-documentation/stix/examples A...

2022-10-11 ‧ 由 Eugene 分享
DAY 27

2-5 藍隊工具分享

藍隊防禦工具蠻多的,順手整理一下,在CDM上建議各類型都評估有沒有一項相對應的產品 Vulnerability Scanner NMAP 輕量系統弱掃工具...

2022-10-12 ‧ 由 Eugene 分享
DAY 28

2-6 ATT&CK Enterprise Evaluation - 1

說明 在寫這篇文章前先說明,這個項目很容易起爭議 防禦在自己環境是否有效是需要廠商配合、人工調教 有些評分高的產品需要很多人力介入,有些需要買完整套方案才有效...

2022-10-13 ‧ 由 Eugene 分享
DAY 29

2-7 ATT&CK Enterprise Evaluation - 2

接著前一章 檢測的類別可以到以下連結查看定義,直接看說明可能不清楚,以下直接實例解釋https://attackevals.mitre-engenuity.or...

2022-10-14 ‧ 由 Eugene 分享
DAY 30

2-8 ATT&CK Enterprise Evaluation - 3

Enterprise Evaluation 是可以修改設定後在做複測 看3.A.5 情境是rundll32.exe 生成 cmd.exe 然後 powershe...

2022-10-15 ‧ 由 Eugene 分享