Splunk安全运营实践

Splunk 是一个数据平台，支持企业可观察性、统一安全性以及混合环境中无限的自定义应用程序。Splunk 是网络安全行业最受欢迎的安全解决方案之一，可以实时采集主机日志聚合分析提高安全运营的效率。

列举了多种ssh防爆破的实现方式，可用于Linux服务器加固。

• fail2ban
• pam
• Google Authenticator 双因素认证 (2FA)

RITA（Real Intelligence Threat Analytics）是一款用于网络安全分析和威胁检测的开源工具。它收集、解析和分析网络流量数据，提供对网络活动的洞察，并允许安全专业人员检测和应对安全事件。RITA 提供实时警报，并允许用户执行网络取证和事件响应任务。

该框架以 TSV 格式接收 Zeek Logs，目前支持以下主要功能：

• 信标检测 ：搜索网络内外信标行为的迹象。
• DNS 隧道检测 ：搜索基于 DNS 的隐蔽通道的迹象。
• 黑名单检查 ：查询黑名单以搜索可疑域和主机。
• URL 长度分析 ：搜索表明恶意软件的过长 URL。
• 扫描检测 ：搜索网络中端口扫描的迹象。

最近遇到的有系统被全盘（ext4）删除的案例，拿到了被删除的系统镜像，该文件系统受损程度是很大的，正好把Linux大部分的数据恢复工具都测评一遍，看看极端场景下的各类数据恢复工具的表现情况。

最近研究数据恢复，发现了新的trick。在攻防对抗中，由于主机上都会部署HIDS的agent，这就导致红队在目标主机上落地的任何文件都会被监控到。如果恶意的shellcode不经过文件系统直接落地磁盘，那是不是就可以绕过主机安全的查杀呢？

我们的 SIEM 发出警报，AV 阻止恶意软件在员工的机器上运行。为了进一步调查，事件响应团队迅速获取了该机器的图像。为了查明该恶意软件是如何进入机器的，他们的任务是找到攻击的入口点并追踪攻击者。

我们的朋友成了可疑破解工具的受害者。但似乎它没有走上正轨，所以调查一下它以找到任何证据。