DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

ddos防御攻击_cdn防御系统源码_精准

ddos防御攻击_cdn防御系统源码_精准

上周,我演示了如何将现代蜂蜜网络数据摄取到Splunk中并用mhnsplunk可视化应用程序。希望如此在现代蜂蜜网络应用程序的基础上,你已经获得了很多额外的价值。我相信你现在已经准备好了向上。就像对于所有安全事件 - 包括蜜罐事件-上下文是关键。例如,一个IP尝试过一次SSH进入您的机器,可能希望利用默认登录凭据(希望不是您!)。而一个每秒尝试SSH 10次的IP可能会更严重、更有针对性攻击。进来这篇文章我将向你展示如何通过Anomali Threatstream社区Splunk应用程序(免费)添加你正在使用Anomali Threatstream数据散播的MHN数据。这样做将有助于您轻松识别和快速调查蜜罐网络所看到的最关键事件。简要介绍…Anomali ThreatStream社区应用程序Splunk利用来自Anomali ThreatStream平台的威胁情报来识别潜在威胁和漏洞。社区应用程序通过下载ThreatStream的情报(已知的妥协指标(IOC))与您在Splunk.配置带有MHN data0的Anomali ThreatStream社区应用程序。先决条件您有一个Splunk实例,其中包含正在摄取的现代Honey网络数据。安装Anomali ThreatStream社区Splunk App下载Anomali ThreatStream社区Splunk应用程序这里。导航收件人:应用程序>管理应用程序>从文件安装应用程序。按照说明上载您刚下载的应用程序。2。注册一个免费的Anomali Threatstream帐户,以便将数据从Threatstream下载到Splunk中执行匹配,您将需要一个免费的Anomali Threatstream帐户。如果你还没有帐户,你可以在配置应用程序的同时注册一个帐户:Apps>Anomali Threatstream Community>Help>Run setup.3。熟悉应用程序查找当导航到"设置">"查找">"Anomali Threatstream社区"时,您会注意到该应用程序附带了许多查找应用程序内不同功能的信息应用程序查找由IOC类型分隔,包括:URL、MD5散列、IP、email和domain。每个查找文件都有不同的列标题。例如,tsi_ip查找包含以下标题:_key、asn、classification、confidence、country、date_first、date_last、detail、id、itype、lat、lon、lookup_key_value、maltype、org、resource_uri、severity、source、actor、campaign、tipreport、\u time、last_time、link,输入应用程序查询附带一个小样本的历史IOC数据来自Threatstream。您可以通过运行"inputlookup"命令在Splunk中查看它。例如,要查看"tsi_ip"查找运行:| inputlookup tsi_ip注意:从Threatstream下载新的查找数据进行匹配可能需要24小时。根据MHN事件开始匹配查找默认的MHN服务器Splunk密钥/值日志文件仅包含IP和MD5字段,所以我只使用这两个查找文件来执行匹配反对。开始通过将MHN数据与"tsi\u ip"匹配查找:源="*mhn-splunk.log文件*"| lookup tsi_ip lookup_key_value AS src OUTPUTNEW confidence AS ts_confidence,itype AS ts_itype,",详细信息为ts_detail |搜索ts_confidence="*"让我们来分析一下这个搜索:源="*mhn-splunk.log文件*"首先从MHN日志文件返回所有Splunk保留的数据。| lookup tsi_ip lookup_key_value AS src OUTPUTNEW confidence AS ts_confidence,itype AS ts_itype,detail AS ts_detail |然后使用"lookup"命令调用"tsi_ip"查找,服务器ddos防御方法,告诉Splunk查找中的"lookup"列应该与MHN日志中的"src"字段值匹配。"lookup_key_value"包含来自Threatstream的恶意IP值,而MHN数据中的"src"字段是MHN事件的原始IP。如果这两个匹配,有一个事件可能是值得的调查"OUTPUTNEW"函数然后通过允许我们用查找数据丰富MHN事件来添加额外的上下文。通过运行Splunk搜索:"| inputlookup_NAME",您可以看到每个查找中可用的字段列表,以丰富MHN事件。在上面的示例中,服务器防御ddos操作,confidence、itype和detail字段是从查找中使用的。我用"ts"前缀重命名每个字段,这样我就可以很容易地从搜索中的查找中识别字段。然后,根据最终的|。| search ts|confidence="*"匹配完成后,运行另一个搜索,这一次只过滤具有"ts|confidence"字段的事件。如果事件成功地匹配了一个"威胁流",那么他们就可以成功地对抗"威胁"。搜索你现在知道如何用Threatstream IOCs丰富MHN事件数据。但是,根据返回的匹配项,您可能需要添加更多上下文。例如,正如本文开头所讨论的那样邮政来源="*mhn-splunk.log文件*"| lookup tsi_ip lookup_key_value AS src OUTPUTNEW confidence AS ts_confidence,linux防御ddos脚本,itype AS ts_itype,",detail AS ts|search ts_confidence="*"| transaction src maxpause=5s上面的搜索在前面创建的搜索的末尾添加一个"transaction"命令。| transaction src maxpause=5s在返回与Threatstream ioc匹配的事件后(| search ts_confidence="*"),transaction命令通过要求按IP(src)分组的事件来进一步过滤结果,这些事件在5秒内被发现(maxpause=5s)。例如,搜索将返回12:00:01和12:00:02(暂停1秒)访问蜜罐的IP的事件,但不会返回在12:00:01和12:00:11(暂停10秒)访问蜜罐的IP的事件。只有可视化数据是好的。它往往更容易理解和分享更多的视觉窗体.源="*mhn-splunk.log文件*"| lookup tsi_ip lookup_key_value AS src OUTPUTNEW confidence AS ts_confidence,itype AS ts_itype,detail AS ts|detail | search ts_confidence="*"|时间表计数使用"timechart"命令,生成一个图形,显示每日MHN事件的计数匹配Threatstream IOC。例如,如果突然出现峰值,则可能表示有目标的攻击。Splunk有许多可视化选项,高防cdn的目标客户,包括地图、线图和表格。进一步如果你是新手,一个好的起点是探索Splunk的搜索语言 - - 特别是本文介绍的查找和事务命令邮递员Anomali Threatstream社区应用程序是识别网络威胁的强大工具。我在这篇文章中浏览了它的附加功能,了解更多关于应用程序的功能以及如何配置附加功能的信息功能。探索在接下来的几周里,我将发布一系列关于如何从蜜罐产生的数据中获取价值的指南阿诺马利的MHN帖子推特。下一个向上:自动蜜罐警报关于作者格林伍德大卫是阿诺马利的产品经理。他负责制定和执行与ThreatStream平台的集成策略,与Anomali客户密切合作,帮助他们实现威胁情报为其业务带来的价值。

,ddos防御云服务

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos/60031.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8029645访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X