Splunk安全运营实践

Splunk 是一个数据平台,支持企业可观察性、统一安全性以及混合环境中无限的自定义应用程序。Splunk 是网络安全行业最受欢迎的安全解决方案之一,可以实时采集主机日志聚合分析提高安全运营的效率。

阅读更多

使用RITA进行C2威胁狩猎

RITA(Real Intelligence Threat Analytics)是一款用于网络安全分析和威胁检测的开源工具。它收集、解析和分析网络流量数据,提供对网络活动的洞察,并允许安全专业人员检测和应对安全事件。RITA 提供实时警报,并允许用户执行网络取证和事件响应任务。

该框架以 TSV 格式接收 Zeek Logs,目前支持以下主要功能:

  • 信标检测 :搜索网络内外信标行为的迹象。
  • DNS 隧道检测 :搜索基于 DNS 的隐蔽通道的迹象。
  • 黑名单检查 :查询黑名单以搜索可疑域和主机。
  • URL 长度分析 :搜索表明恶意软件的过长 URL。
  • 扫描检测 :搜索网络中端口扫描的迹象。
阅读更多

LetsDefend-Discord取证

我们的 SIEM 发出警报,AV 阻止恶意软件在员工的机器上运行。为了进一步调查,事件响应团队迅速获取了该机器的图像。为了查明该恶意软件是如何进入机器的,他们的任务是找到攻击的入口点并追踪攻击者。

阅读更多