红蓝对抗--蓝队

本文阅读 6 分钟

2019年参加护网行动的时候,想着是信安专业,可以去赚点零花钱。 蓝队的工作。。。。。后面总结了一下护网行动和蓝队的一些工作重心。刚刚换电脑的时候翻出来了这个文章。只是个人拙见,大佬勿喷。

在团队建设时,蓝队主要分为四个部门: 1、指挥中心:主要进行统筹,管控蓝队事务。 2、监测小组:主要对流量监控平台、日志平台等系统进行7*24小时监控;以保证可以及时的发现各种攻击行为,对攻击者的IP进行封堵。 3、快速反应小组:主要是配合监控小组对发现的攻击行为进行分析,判断攻击的真实性及危险性,提出处置建议,部分还有进行溯源。 4、应急保障小组:主要对演习过程中的各种突发的安全事件,进行及时的处理。

资产梳理,我们更好的了解企业系统架构,可以提前针对系统的安全性或脆弱面给出建议,可以在对抗过程中更加全面的对系统进行防御。资产信息主要包括业务资产、设备资产、外包/第三方服务资产等。 1、业务资产信息 业务系统名称、业务系统类型、服务器类型、域名/IP地址、服务端口、版本、系统部署位置、开发框架、中间件、数据库、责任人、维护人员 2、设备资产信息 设备名称、设备版本号、固件版本号、IP地址、部署位置、责任人、维护人员 3、外包/第三方服务资产信息 厂商联系方式、系统名称、系统类型、IP/URL地址、部署位置、责任人、维护人员、厂商联系方式、第三方值班人员

1、基础设施风险 主要对资产中各种网络设备,安全设备,服务器等进行检查,防患于未然,对已经发现的漏洞或不安全因素进行及时修补。 2、帐号权限梳理 弱口令是最简单,但是最直接的攻击方式。我们在账号权限管理过程中,主要对各种设备,系统、服务器的密码进行核查,防止出现弱口令、闲置口令、测试账号等。 3、互联网风险排查 主要是对企业的冗余资产进行检查,测试环境,旧版本系统,未使用但是没下线的系统等缺少维护的资产进行清理检查。

进行完资产的梳理,我们对企业内部的资产的安全性已经有了一个了解,这个时候,我们需要根据我们资产梳理的结果进行收敛。 1、核心资产,重点防护;边缘资产,进行边界防护;不安全资产,及时整改防御 2、对不稳定,或者关闭之后影响较小的系统进行关闭,减少攻击面。或者仅开放核心业务系统。 3、培养企业员工的安全意识,防止出现钓鱼、社工攻击等行为。

1、查看当前登录用户

query user

2、查看系统中所有的用户

(1)net user
(2)开始 运行 -lusrmgr.msc
(3)查看C:\User目录排查是否有新建用户的目录

3、查看是否有隐藏账号、克隆账号

(1)开始 运行 regedit
(2)查看注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 中是否有异常

4、注册表查看启动项

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

命令行查看启动项

wmic startup list full

组策略中查看启动项 运行 gpedit.msc

5、Recent目录 此目录可以看到程序或文件最后被打开和使用的日期

C:\Users\Administrator\Recent

6、windows日志 计算机-管理-事件查看器-windows日志-安全(或者eventvmr.msc) 根据时间排查安全日志中的登录事件,用户创建等事件情况。 着重寻找登录事件(ID4624)且登录类型为3和0的远程登录方式

windows安全日志文件:

C:\Windwos\System32\winevt\Logs\Security.evtx

查看其大小是否为20M左右,如果远远小于20Mzeyoukeneng被清理过。

7、排查可疑进程 查看可疑网络连接

netstat -b -n

根据网络连接寻找pid

netstat -ano | findstr xxx

根据pid寻找进程

tasklist | findstr xxx

杀死可疑进程

taskkill /T /F /PID xxxx

8、排查计划任务

schtasks /query /fo table /v
运行 -taskchd.msc

9、排查系统服务

运行service.msc
本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/sycamorelg/article/details/112031415
-- 展开阅读全文 --
Web安全—逻辑越权漏洞(BAC)
« 上一篇 03-13
Redis底层数据结构--简单动态字符串
下一篇 » 04-10

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复