DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

ddos怎么防_如何防cc_超稳定

06-10 CC防护

ddos怎么防_如何防cc_超稳定

最近,我和一个朋友聊天,他正在使用流行的消息应用Slack来帮助他所在组织的安全运营中心(SOC)。他们不仅设置了从安全工具输入Slack的警报,而且分析师可以直接从Slack对这些工具(比如Splunk)运行查询留言。很清楚有一个非常成熟的安全团队来满足他们的需求。不会对每个人都有用。尽管如此,许多组织仍然大量使用Slack,包括我们在Anomali。然后,我的大脑开始想象我们可以引入威胁情报工作流程和调查的方法松懈。我的最初的想法是:我们的Anomali ThreatStream Splunk应用程序生成的事件信息将是一个完美的起点,这是我在一个备用的20几分钟。阿诺马利ThreatStream Splunk存在的ThreatStream和Splunk客户将通过我们的Splunk应用程序运行其大部分威胁情报功能。该应用程序预先构建了许多保存的搜索、可视化和警报,帮助用户关注最关键的安全事件,其中Splunk事件与一个特别恶意的威胁流危害指标(IOC)相匹配。这些搜索还为我们自己的用例定制提供了一个很好的起点;在Slack中决定要通知哪些信息。还有更多晚点。松懈警报操作我们将使用Splunk警报通知我们高优先级的ThreatStream匹配。在设置警报之前,如何做CC防御,我们需要配置触发Splunk警报时执行的Slack警报操作。安装Splunk Slack Webhook警报应用程序是最简单的方法。您可以在此处免费下载应用程序:https://splunkbase.splunk.com/app/3525/Once你已经在Splunk上安装了该应用,你需要在Slack团队设置中创建一个传出的Webhook集成。在这里,您可以定义Splunk警报的发送位置变量。异常ThreatStream高优先级匹配警报例如,美国ddos防御,ThreatStream Splunk应用程序中的许多可视化功能允许您根据严重程度或指标类型(即C2 IP、恶意软件文件哈希等)来查看匹配。我们可以利用这些控制面板的搜索来创建警报。应用程序中我最喜欢的一个面板考虑了观察到的10个最高优先级匹配(apt、c2或具有高置信度的恶意软件指标)。为它提供动力的搜索看起来像此:index=threatstream_summary(apt或mal或c2)(event.ts类型=*阿普特或event.ts类型=*马勒event.ts类型=*c2_*)|重命名event.*为*|`ts_get_time_offset(_time,ts_date_last)` | eval my_confidence=max(split(ts_confidence,局域网内ddos防御,";")| eval age=min(age)|其中my_confidence>80 AND age=分割(,,";")];MV扩展MV扩展扩展扩展查询_查询金金金_值|统计最大(U时间)作为_时间,值(受害者)作为受害者,最小(年龄)作为年龄,各值(ts源)作为"指示源",价值(ts_源)作为"指示源",价值(ts_itype)作为"itype",在,如何防止正常用户被cc防御,搜索时,可以将这些搜索值命名为U型搜索值,也可以用U型搜索值来表示。我将时间范围设置为"Last 3 hours"(过去3小时),尽管您可以很容易地为您的组织要求使用更合适的时间范围,并将其保存为警报。低于触发器操作选择"Slack Webhook Alert"操作,然后输入前面生成的Webhook URL。您可以在Splunk中自定义使用标记传递的Slack消息。这是一个示例:新高优先威胁情报匹配\警报名称:$name$\\指示器=$结果指示器$ \源类型=$结果.sourcetype$ \ts_类型=$结果.ts_类型$ \受害者=$结果。受害者$ \类型=$结果.iType$ \信心=$结果。信心$ \严重程度=$结果。严重性$\\在Splunk中查看:$View_link$您可以查看我的保存搜索.confGithub上此警报的节:https://gisthub.com/himynamesdave/2B0C1C7F6A845BFE383E74BC51FA0850工作一旦信息传递出去,我就可以从容地采取行动。也许是我自己开始调查,或者是转发给团队成员。Slack消息中提供的详细信息提供了有关威胁的深层上下文,在上面的示例中,高防cdn试用,在许多内部服务器(受害者)上观察到了一个恶意软件域。真正简单的是消息中传递的Splunk链接(使用Splunk中的$view_link$令牌设置),它直接链接回ThreatStream Splunk应用程序,结果问题。不是威胁流的客户了吗?我们的ThreatStream Splunk社区应用程序是帖子中描述的完整应用程序的有限功能版本。虽然社区应用程序的功能和智能显著降低,但您可以遵循相同的逻辑,使用稍微不同的搜索,使用它提供的威胁信息创建空闲警报。关于作者格林伍德大卫是阿诺马利的产品经理。他负责制定和执行与ThreatStream平台的集成策略,与Anomali客户密切合作,帮助他们实现威胁情报为其业务带来的价值。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos/59971.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8557188访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X