1、远离应急，实现安全响应自动化运营安全响应的现状和挑战123456目录安全响应的支撑平台建设安全响应需要的数据和威胁情报的作用安全响应“必修课”终端检测响应/EDR主要工具集安全响应的playbook某次内网红蓝对抗暴露的问题单一的EPP解决方案存在检测盲点1、安全响应的现状和挑战没有完美的防护入侵事件始终存在多维度的检测纵深的分析研判完善丰富的响应流程不断降低的MTTR持续循环迭代形成闭环红蓝对抗引发的思考1、安全响应的现状和挑战（续）安全响应的现状和挑战123456目录目录安全响应的支撑平台建设安全响应“必修课”终端检测响应/EDR主要工具集安全响应的playbook安全响应需要的数据和威胁

2、情报的作用安全响应依赖的基础数据与Kill-Chain各阶段对应ReconnaissanceWeaponizationDeliveryExploitationInstallationCommand&ControlAction&Objective流量IPS、IDS告警应用认证日志邮件网关（如特定扩展名命中）Sandbox告警PC的终端安全（含HIPS等）告警互联网访问网关的威胁告警服务器上尽可能多的监控信息，如进程hash和行为HTTP访问日志、完整请求payload和响应payload的前150字节NGFW告警，WAF告警墙后的南北向流量监控HIPS/HIDS告警漏洞信息主机OS日志和Sysm

3、on/Osquery等实现的增强日志HTTP访问，应用（如登录、访问），邮件，AD日志等入站FW日志或者入站流量监控日志东西向流量DNS日志出站流量中的域名或IP访问，证书出站FW日志服务器上尽可能多的监控信息，如进程hash和行为是不是被搞了？谁搞的我？我被搞的多惨？如何被搞的？我被盯上了？2、安全响应需要的数据和威胁情报的作用Kill-Chain各阶段常用到的威胁情报数据应急响应与安全分析的催化剂ReconnaissanceWeaponizationDeliveryExploitationInstallationCommand&ControlAction&Objective收件人邮件地址目

4、标国家目标行业目标个体扫描特征算法密钥特定互斥量执行流程加解密方式特定功能模块对抗分析措施源码工程路径特定数据字串语言编译环境特定数字签名组件组织架构特别的错误邮件名特征邮件正文特征目标邮件和地址恶意代码进入方式 鱼叉邮件 水坑攻击 U盘 主动渗透主机特征：Mutex、写入的注册表项、文件名或路径等Yara rule特定主机监控程序，如Sysmon/Osquery规则集Webshell特征初始启动路径持续启动方式伪装正常模式特定特定事件的CVE、0-day通用payload特征域名、URL、历史解析IP、WHOISSSL证书域名注册信息域名使用偏好域名命名偏好IP、IP反查域名、历史域名解析、

5、RDNSIP所在ASN、地址位置域名或IP信誉评级、标签、关联事件和关联通信样本通信协议后门工具工具类型工具配置认证凭据目标数据打包方法传输方法破坏功能是不是被搞了？谁搞的我？我被搞的多惨？如何被搞的？我被盯上了？2、安全响应需要的数据和威胁情报的作用安全响应的现状和挑战123456目录目录安全响应“必修课”终端检测响应/EDR主要工具集安全响应的playbook安全响应的支撑平台建设安全响应的支撑平台建设安全响应需要的数据和威胁情报的作用泰坦人工智能安全态势感知平台基于大数据技术，对企业全面的安全信息进行集中采集、存储和分析，利用流式计算、智能分析引擎、和可视化等手段，结合丰富的威胁情报，对

6、企业面临的外部攻击、内部违规行为进行检测，为企业建立快速有效的威胁检测、分析、处置能力和全网安全态势感知能力，使得企业的信息安全可知、可见、可控。大数据智能分析引擎威胁情报可视化3、安全响应的支撑平台建设泰坦-系统架构数据预处理传感器NETWORKWAFIAM/ADAVNGFWEDRDNS安全智能分析大数据存储威胁情报态势感知事件响应威胁猎捕行为分析知识图谱数据检索告警中心JIRA资产库安全设备3、安全响应的支撑平台建设(续)SYSLOGSYSLOGHIPSHIPSThreat Intelligence Threat Intelligence windows/sysmonKIBANAKIBAN

7、Alinux/osqueryNETWORKNETWORKWAFWAFNGFWNGFWMAILMAILADADAPPLICATIONAPPLICATIONSYSLOGSYSLOGLOGSTASHLOGSTASHTIRTIR3、安全响应的支撑平台建设(续)泰坦-系统架构资产角度的安全可视化3、安全响应的支撑平台建设(续)Inbound AttacksOutbound Alert Trend Services90RISK10CriticalVulnerabilities4RiskyAssets0CRITICAL1HIGH23MED7LOW508INFO官网系统安全态势VulnerabilitiesV

8、ulnerabilitiesAlerts2018-8-28 11:00:21ET CURRENT_EVENTS Jembot PHP Webshell(hell.php)2018-8-28 12:07:30USER_AGENTS BLEXBot User-Agent2018-8-28 11:07:22ET WEB_SERVER Possible Apache Struts OGNL Command Execution2018-8-27 02:08:10ET POLICY PE EXE or DLL Windows file download HTTP2018-8-27 00:13:15FTP

9、Scan detected(ftp_anonymous.nasl)1481026920Asset Correlation MapTop Risky HostsTrafficCritical Attack Sources安全响应的现状和挑战123456目录终端检测响应/EDR主要工具集安全响应的playbook安全响应需要的数据和威胁情报的作用安全响应“必修课”安全响应的支撑平台建设4、安全响应的“必修课”（1）例行漏洞与补丁运营与预警（难易度-低）（2）重大漏洞的应急响应（难易度-低）（3）安全监控与告警（难易度-中）（4）出站灰流量分析（难易度-中）（5）自动化关联分析（难易度-高）（6）红

10、蓝对抗演习（难易度-高）（1）例行漏洞与补丁运营与预警（难易度-低）4、安全响应的“必修课”（续）互联网侧操作系统层漏洞扫描 目标：所有互联网IP地址网段 频率：每周三次互联网侧web应用层漏洞扫描 目标：所有互联网web类应用 频率：每周1次内网侧操作系统层漏洞扫描 目标：所有内网服务器 频率：每周一次渗透测试 目标：所有互联网系统 频率：每两个月一次通过JIRA进行跟踪微软补丁日通告机制桌面终端补丁：自动化推送与安装+每月定时重启。服务器补丁：互联网侧一个月内完成更新，内网侧一个季度内完成更新。新上线服务器：物理机在交付时补丁即拉到最新，虚拟机每月对镜像做更新。关注高危组件补丁级别针对高危

11、组件（如Weblogic、Jboss、websphere）的资产使用情况，制定专属仪表板；根据官方通告，采取先互联网侧系统后内网侧的顺序安装补丁。其他中间件 标准化：制定操作系统、中间件与组件的标准化版本并持续更新，与架构师团队共同推动执行。新上线系统：一律与标准化版本保持一致。已上线系统：每3个月拉齐一次。红色（1级）橙色（2级）黄色（3级）黄色（3级）：公司某个别系统高可信度可以遭受攻击（但仍未）或正在遭受攻击，可导致个别系统攻陷。威胁或事件性质为孤立，预期影响范围为孤立系统。橙色（2级）：公司大面积系统和信息资产可遭受攻击（但仍未）或正在遭受的针对个别系统的攻击正在朝着大面积蔓延的趋势发

12、展，或多名员工遭受或感知攻击。威胁或事件性质为群体，预期影响范围为大面积系统或资产。红色（1级）：公司正在遭受大面积攻击，可导致业务连续性影响或监管影响。该级别预警与信息技术部整体应急预案接轨，应适时启动公司级应急预案。漏洞管理补丁运营漏洞预警（2）重大漏洞的应急响应（难易度-低）4、安全响应的“必修课”Weblogic反序列化（CVE-2018-262）漏洞评估、影响范围预警定级发布预警组织修复验证修复解除预警从厂商公告、安全情报厂商、安全社区和朋友圈等渠道获取漏洞情报。通过邮件方式对全IT发布“橙色”预警。邮件正文直接给出已知受影响的系统名称、IP地址、人和团队等信息，同时要求其他人员开展

13、自查，防止遗漏。1、系统管理员根据官方给出的修复方式组织修复，2、安全运营人员联系网络层IPS厂商获取IPS特征签名，并下发全网。利用漏洞扫描器、POC脚本等方式对漏洞进行修复验证。使用漏洞扫描器就该漏洞进行全网扫描。通过邮件方式解除预警。根据漏洞影响的资产类型、公司资产数据库，确定受影响的服务器以及应该参与响应的系统管理员。依据安全响应中心漏洞响应应急预案中的设定，确定本次漏洞响应级别为3级“黄色”。漏洞应急响应能力建设的几个关注点：1、漏洞情报的获取。2、精细化的资产管理，特别是高危组件的使用情况很重要。3、应急响应流程的制定。4、漏洞快速检测能力。（3）安全分级监控、告警与基于优先级响应

14、（难易度-中）4、安全响应的“必修课”Intelligence类1、出站恶意域名访问2、出站恶意IP访问3、办公网恶意DNS解析4、服务器区恶意DNS解析5、本地恶意文件hashAV类6、SEP终端IPS7、SEP终端病毒查杀（办公网）8、SEP终端病毒查杀（核心网）EDR类9、OSquery检测规则10、Sysmon检测规则NIPS类11、Suricata-ET PRO规则告警-高危12、Suricata-ET PRO规则告警-中危13、Suricata-ET PRO规则告警-低危14、Suricata-ET PRO规则告警-部分攻陷类相关-严重AI类15、DGA检测模型安全告警类型、等级与

15、Kill-Chain的关系严重高危中危低危告警等级ReconnaissanceWeaponizationDeliveryExploitationInstallationCommand&ControlActions on objective24响应优先级高（4）出站灰流量分析（难易度-中）4、安全响应的“必修课”白名单企业自有互联网IP地址段。业务访问白名单。黑名单任意一家情报厂商域名判断为黑。偏白微步情报域名判断为白，其余厂商未知纯灰所有情报源IP和域名的判定结果均为未知。偏黑任意一家情报源IP判定结果为黑，且所有情报源域名判断为未知1、每月对公司威胁情报库中的纯灰连接进

16、行人工判断，具体结合证书、whois、服务器管理员问询等进行综合判断，降低情报库中纯灰连接数量。2、每天对本周新增的偏黑及黑的连接进行响应，查明事件原因，排除事件隐患。目标：找出潜在的攻陷事件。（5）自动化关联分析（难易度-高）4、安全响应的“必修课”场景一：出站访问场景一：出站访问IP、域名、域名、URL、DNS解析命中单一情报厂商解析命中单一情报厂商IOC产生告警产生告警序号关联元素关联项目关联项类型目的1DIP、域名、URL、URI、DNS该DIP、域名、URL、DNS解析在其他情报厂商上的信息。情报丰富情报信息。2DIP该DIP在防火墙上的原始日志。原始日志判断出站连接是否成功。3DI

17、P该DIP的流量信息。流量查看疑似恶意流量的详情。4DIP该DIP在EDR日志中的进程信息。原始日志查询该出站访问的进程名称。5HASH动作4查询到进程的HASH多引擎威胁情报及沙箱检测结果。情报获取该进程的情报及沙箱分析结果。6SIP该SIP的EPP告警。规则类告警判断该SIP服务器是否感染恶意程序。7SIP该SIP的EDR告警。规则类告警判断该SIP服务器是否命中EDR规则。8SIP该SIP的HIPS告警。规则类告警判断该SIP服务器是否有恶意网络行为。9SIP该SIP的南北向NIDS告警。规则类告警判断该SIP服务器是否命中IDS规则。10SIP该SIP的东西向NIDS告警。规则类告警判

18、断该SIP服务器是否有横向移动行为。11SIP、域名该SIP的DGA域名检测告警信息AI类告警判断该SIP是否发生过DGA域名解析+判断该域名是否为DGA域名。12SIP、DIP、域名、URL、DNS、HASH该SIP和DIP的历史事件信息。事件查看历史事件库中是否有与该DIP、域名、URL、DNS、HASH解析和SIP相关的事件。（5）自动化关联分析（难易度-高）（续）4、安全响应的“必修课”（续）场景二：针对高危资产的入站场景二：针对高危资产的入站HTTP payload告警，例如告警，例如weblogic反序列化漏洞反序列化漏洞序号关联元素关联项目关联项类型目的1SIP该SIP在威胁情报

19、厂商上的信息。情报丰富情报信息。2DIPDIP服务器上的资产、版本及其漏洞信息内部资产+漏洞信息判断DIP上的资产及其版本是否与本次疑似攻击所利用的资产一致，以及是否存在本次疑似攻击所利用的漏洞。3SIP该SIP的HTTP请求及其响应数据包流量查看该SIP所有的HTTP请求及其响应数据包的详细信息。UA、COOKIE、URI、POSTDATA等。4DIPDIP服务器上的EDR反弹shell或命令执行的告警规则类告警查看DIP机器上是否有反弹shell以及命令执行5SIPSIP的NIDS Webshell上传告警信息规则类告警查看NIDS上是否有该SIP的webshell上传告警。6SIPSIP

20、的NIDS 命令执行告警信息规则类告警查看NIDS是否有该SIP的命令执行告警。7DIPDIP服务器上的HIPS告警。规则类告警查看DIP上是否有恶意网络行为。8SIP、DIP该SIP和DIP的历史事件信息。事件查看历史事件库中是否有与该DIP和SIP相关的事件。（5）自动化关联分析（难易度-高）（续）4、安全响应的“必修课”（续）场景三：场景三：EPP告警告警序号关联元素关联项目关联项类型目的1恶意文件HASH恶意文件HASH的多引擎扫描结果情报丰富情报信息。2IP该IP服务器上所有进程的nessus多引擎扫描结果。Malware检测结果。3IP、进程名该IP服务器上恶意文件对应的相关进程的

21、行为、网络连接、注册表等原始日志分析相关进程的行为。4IP该IP服务器的EDR告警规则类告警查看该服务器上是否有其他恶意进程告警5IP该IP服务器的出站的情报类告警情报查看该服务器是否有恶意出站访问。6IP该IP服务器的HIPS告警规则类告警查看该服务器是否有横向的恶意访问。7IP人工：使用THRECON对该服务器取证规则类告警获取该服务器的用户和组、进程、服务、注册表、网络行为、任务计划、日志以及补丁等必要信息，以便进行人工分析和判定。8IP、恶意文件HASH该IP和恶意文件HASH的历史事件信息。事件查看历史事件库中是否有与该IP和恶意文件HASH相关的事件。（6）蓝对抗演习（难易度-高）

22、安全响应的“必修课”验证“被动”防御设施的有效性和薄弱点。体验真实环境攻击，感知攻击过程，借助流量、日志分析发现“被动“防御漏掉的威胁。检验自身对互联网资产的掌控程度。挖掘实质性的互联网漏洞，同时验证自有漏扫工具的有效性。摸清在响应时需要收集的日志和流量。完善应急响应流程。演习目标红军：人员组成：SRC+安全服务公司技术专家任务：1、策划与编排演习。2、演习期间监测被动防御设备上的告警信息。3、根据演习结果，优化防御性设备上的安全策略。蓝军：人员组成：众测平台的精英白帽子20+任务：1、提供真实的高质量攻击流量。2、找出具有实质性威胁的中高危漏洞。3、演习结束后协助红军对攻击特征进行总结，形成

23、IOC。安全响应的现状和挑战123456目录安全响应“必修课”安全响应的playbook安全响应需要的数据和威胁情报的作用安全响应的支撑平台建设终端检测响应/EDR主要工具集简介简介：Sysmon是由Windows Sysinternals，当前最新版本为V8.0下载链接下载链接：https:/ accepteula i c:windowsconfig.xml卸载卸载：sysmon u更新配置文件更新配置文件：sysmon c c:windowsconfig.xml日志查看方法日志查看方法：事件查看器事件查看器-应用程序和服务日志应用程序和服务日志-MicrosoftMicrosoft-Win

24、dowsWindows-sysmonsysmonSYSMONSYSMON介绍（windowswindows）SYSMON的日志类别终端检测响应/EDR主要工具集SYSMONSYSMON一些典型的应用场景一些典型的应用场景终端检测响应/EDR主要工具集（续）检测Powershell恶意执行检测恶意word文档执行检测恶意网络连接1|、推荐使用SwiftOnSecurity的公版配置文件进行mod（https:/https:/ Hunting响应工具，能够收集端点上的信息用于事件响应、threat Hunting和现场取证。链接：https:/ clonehttps:/ c:temp（收集的信息默

25、认存储在c:temp目录下）获取主机的特定信息：Invoke-THR-Modules Module1,Module2,etc.-Output c:temp例如：获取注册表地址信息，Invoke-THR-Modules registry注意事项：1、powershell需要以管理员身份运行。2、使用前需要执行set-executionpolicy remotesigned.3、扫描端需要powershell5.0或更高版本，被扫描端需要ps3.0或更高版本。THRecon介绍（windows）终端检测响应/EDR主要工具集THRecon收集的信息类型THRecon运行截图简介：Facebook

26、著名开源操作系统检测和监控项目，100%使用系统API实现，没有使用fork execve，也支持windows操作系统。链接：Github：https:/ rpm-ivh https:/osquery- yum install osquery$sudo service osqueryd start更新配置文件：覆盖文件（/etc/osquery/osquery.conf），并重启服务。查询：实时查询接口：输入osqueryi后执行SQL语句进行检索历史日志存储在：/var/log/osquery/osqueryd.results.log目录下。OSQUEYRYOSQUEYRY介绍（介绍（li

27、nuxlinux）终端检测响应/EDR主要工具集（续）查询方法示例：（1）查询系统用户命令：select*from users;（2）查询网络连接情况命令：select processes.pid,processes.name,listening_ports.port,lisselect processes.pid,processes.name,listening_ports.port,listening_ports.protocol,listening_ports.address from listening_ports JOIN processes USING(pid)limit 20;o

28、squery SELECT*FROM.cpuidcrashes crontabcups_destinationscups_jobscurl curl_certificatedevice_filedevice_firmwaredevice_hashdevice_partitionsdisk_encryptiondisk_eventsdns_resolversdocker_container_labelsdocker_container_mounts docker_container_networks docker_container_ports docker_container_processe

29、s docker_container_stats docker_containers docker_image_labels docker_imagesdocker_infodocker_network_labelsdocker_networksdocker_versiondocker_volume_labelsdocker_volumesetc_hostsetc_protocolsetc_servicesevent_tapsextended_attributesfan_speed_sensorsfilefile_eventsfirefox_addonsgatekeepergatekeeper

30、_approved_appsgroupshardware_eventshash homebrew_packagesintel_me_infointerface_addressesinterface_detailsiokit_devicetreeiokit_registrykernel_extensionskernel_infokernel_panicskeychain_aclskeychain_itemsknown_hostslastlaunchdlaunchd_overrideslistening_portsload_averagelogged_in_usersmagic managed_p

31、oliciesmdfindmemory_devicesmountsnfs_sharesnvramopera_extensionsaccount_policy_data acpi_tables ad_configalfalf_exceptions alf_explicit_auths alf_services app_schemesapps apt_sources arp_cache aslaugeas authorization_mechanisms authorizations authorized_keys block_devices browser_plugins carbon_blac

32、k_infocarves certificateschrome_extensions cpu_timeos_versionosquery_eventsosquery_extensionsosquery_flagsosquery_infoosquery_packsosquery_registryosquery_schedulepackage_bompackage_install_historypackage_receiptspci_devicesplatform_infoplistpower_sensorspreferences process_envsprocess_eventsprocess

33、_memory_mapprocess_open_filesprocess_open_socketsprocesses prometheus_metricspython_packagesquicklook_cacheroutes safari_extensionssandboxes shared_folderssharing_preferencesshell_historysignature sip_configsmbios_tablessmc_keysstartup_itemssudoerssuid_binsystem_controlssystem_infotemperature_sensor

34、stime time_machine_backupstime_machine_destinationsuptimeusb_devicesuser_eventsuser_groupsuser_interaction_eventsuser_ssh_keysusers virtual_memory_infowifi_networkswifi_statuswifi_surveyxprotect_entriesxprotect_metaxprotect_reportsyarayara_eventsOSQUERYOSQUERY日志类别日志类别终端检测响应/EDR主要工具集（续）OSQUEYRYOSQUEY

35、RY典型应用场景典型应用场景osquery SELECT DISTINCT(processes.pid),processes.name,processes.path,processes.cmdline,processes.root,process_open_sockets.remote_address,process_open_sockets.remote_port,(SELECT cmdline FROM processes AS parent_cmdline WHERE pid=processes.parent)AS parent_cmdline FROM processes JOIN p

36、rocess_open_sockets USING(pid)LEFT OUTER JOIN process_open_files ON processes.pid=process_open_files.pid WHERE(name=sh OR name=bash)AND remote_address NOT IN(0.0.0.0,:,)AND remote_address NOT LIKE 10.%AND remote_address NOT LIKE 192.168.%;检测反弹shell终端检测响应/EDR主要工具集（续）1、推荐使用Palantir的公版配置文件进行mod（https:/

37、 降低MTTR固化流程，丰富场景，并持续运营，使响应时间不断降低安全事件响应的目标6、安全响应的playbook（续）第一步：告警的分类定级和误报筛选6、安全响应的playbook（续）第二步：固化基本流程并丰富分场景响应剧本（playbook）安全事件响应剧本安全设备类FW类WAF类邮件沙箱类NIPS类ET RULE类Bro类HIPS类内网攻击外网攻击TI类IP类URL类DNS类HASH类EPP类Trojan类HackTool类混合类EDR类SYSMON类OSQUERY类AI类DGA类DNS隧道类外部突发事件网络攻击类高危漏洞类勒索软件类关键应用类AD类网站类邮件网关类响应开始事件确认定级事

38、件信息丰富化响应结束事件通告事件响应处理事件复盘改进事件后续review6、安全响应的playbook（续）DAYWEEKMONTHANY TIME第三步：按照事件优先级进行持续运营 出站Ti告警 严重及高危NIPS告警 严重及高危HIPS告警 严重及高危EDR告警 入站Ti告警趋势性分析 中低危HIPS告警 中低危EDR告警 中低危EPP告警 出站灰流量分析 企业情报库更新 威胁捕猎 当月情况review 突发事件的应急响应 红蓝对抗演习 监管部门安全通告 行业性演练6、安全响应的playbook（续）第四步：运营过程中的自动化模块构建6、安全响应的playbook（续）安全事件响应自动化模

39、块信息丰富化类获取资产信息获取漏洞信息关联历史事件关联其他告警确定事件定级调取JIRA信息添加误报筛选情报类获取IP情报获取域名情报获取hash情报通告类短信告警邮件通告JIRA工单调查取证windows主机checklistLinux主机checklist获取主机DUMP信息获取主机HASH信息执行检查命令调用漏扫工具调用沙盒扫描响应动作类添加IP黑/白名单添加域名黑/白名单添加HASH黑白名单隔离主机添加误报规则第四步：运营过程中的自动化模块构建（续）不建议自动化的任务：人工复查点（事件的确认定级、事件的误报筛选等）关键性系统（业务连续性要求较高的系统、包含大量敏感数据的系统等）关键性决策

40、（执行断网隔离动作、执行文件删除动作等）高级人工分析任务（威胁捕猎、溯源分析、改进建议等）6、安全响应的playbook（续）CASE STUDY：HIPS_MS17-010类响应剧本编排背景情况：某日，发现了一起攻击源头位于内网的HIPS高危告警，且攻击特征为MS17-010漏洞。当即进入“HIPS_MS17-010”响应流程。6、安全响应的playbook响应开始事件确认定级事件信息丰富化响应结束事件通告事件响应处理事件复盘改进事件后续reviewCASE STUDY：HIPS_MS17-010类响应剧本编排流程主要阶段：自动化模块：人工任务：自动化判断：人工判断：6、安全响应的playbook(续)响应开始事件确认定级事件信息丰富化响应结束事件通告事件响应处理事件复盘改进事件后续reviewCASE STUDY：HIPS_MS17-010类响应剧本编排6、安全响应的playbook(续)响应开始事件确认定级事件信息丰富化响应结束事件通告事件响应处理事件复盘改进事件后续reviewCASE STUDY：HIPS_MS17-010类响应剧本编排6、安全响应的playbook(续)响应开始事件确认定级事件信息丰富化响应结束事件通告事件响应处理事件复盘改进事件后续reviewCASE STUDY：HIPS_MS17-010类响应剧本编排6、安全响应的playbook(续)谢 谢！