其他分享
首页 > 其他分享> > 红蓝对抗--蓝队

红蓝对抗--蓝队

作者:互联网

2019年参加护网行动的时候,想着是信安专业,可以去赚点零花钱。
蓝队的工作。。。。。后面总结了一下护网行动和蓝队的一些工作重心。刚刚换电脑的时候翻出来了这个文章。只是个人拙见,大佬勿喷。

文章目录


下面是我对红蓝对抗中蓝队工作的一些总结:

一、团队组建

在团队建设时,蓝队主要分为四个部门:
1、指挥中心:主要进行统筹,管控蓝队事务。
2、监测小组:主要对流量监控平台、日志平台等系统进行7*24小时监控;以保证可以及时的发现各种攻击行为,对攻击者的IP进行封堵。
3、快速反应小组:主要是配合监控小组对发现的攻击行为进行分析,判断攻击的真实性及危险性,提出处置建议,部分还有进行溯源。
4、应急保障小组:主要对演习过程中的各种突发的安全事件,进行及时的处理。


二、梳理资产

资产梳理,我们更好的了解企业系统架构,可以提前针对系统的安全性或脆弱面给出建议,可以在对抗过程中更加全面的对系统进行防御。资产信息主要包括业务资产、设备资产、外包/第三方服务资产等。
1、业务资产信息
业务系统名称、业务系统类型、服务器类型、域名/IP地址、服务端口、版本、系统部署位置、开发框架、中间件、数据库、责任人、维护人员
2、设备资产信息
设备名称、设备版本号、固件版本号、IP地址、部署位置、责任人、维护人员
3、外包/第三方服务资产信息
厂商联系方式、系统名称、系统类型、IP/URL地址、部署位置、责任人、维护人员、厂商联系方式、第三方值班人员


三、风险梳理

1、基础设施风险
主要对资产中各种网络设备,安全设备,服务器等进行检查,防患于未然,对已经发现的漏洞或不安全因素进行及时修补。
2、帐号权限梳理
弱口令是最简单,但是最直接的攻击方式。我们在账号权限管理过程中,主要对各种设备,系统、服务器的密码进行核查,防止出现弱口令、闲置口令、测试账号等。
3、互联网风险排查
主要是对企业的冗余资产进行检查,测试环境,旧版本系统,未使用但是没下线的系统等缺少维护的资产进行清理检查。


四、减少攻击面

进行完资产的梳理,我们对企业内部的资产的安全性已经有了一个了解,这个时候,我们需要根据我们资产梳理的结果进行收敛。
1、核心资产,重点防护;边缘资产,进行边界防护;不安全资产,及时整改防御
2、对不稳定,或者关闭之后影响较小的系统进行关闭,减少攻击面。或者仅开放核心业务系统。
3、培养企业员工的安全意识,防止出现钓鱼、社工攻击等行为。

附部分查看系统是否有可疑行为的方式

1、查看当前登录用户

query user

2、查看系统中所有的用户

(1)net user
(2)开始 运行 -lusrmgr.msc
(3)查看C:\User目录排查是否有新建用户的目录

3、查看是否有隐藏账号、克隆账号

(1)开始 运行 regedit
(2)查看注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 中是否有异常

4、注册表查看启动项

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

命令行查看启动项

wmic startup list full

组策略中查看启动项
运行 gpedit.msc

5、Recent目录
此目录可以看到程序或文件最后被打开和使用的日期

C:\Users\Administrator\Recent

6、windows日志
计算机-管理-事件查看器-windows日志-安全(或者eventvmr.msc)
根据时间排查安全日志中的登录事件,用户创建等事件情况。
着重寻找登录事件(ID4624)且登录类型为3和0的远程登录方式

windows安全日志文件:

C:\Windwos\System32\winevt\Logs\Security.evtx

查看其大小是否为20M左右,如果远远小于20M\zeyoukeneng被清理过。

7、排查可疑进程
查看可疑网络连接

netstat -b -n

根据网络连接寻找pid

netstat -ano | findstr xxx

根据pid寻找进程

tasklist | findstr xxx

杀死可疑进程

taskkill /T /F /PID xxxx

8、排查计划任务

schtasks /query /fo table /v
运行 -taskchd.msc

9、排查系统服务

运行service.msc

标签:查看,--,资产,蓝队,系统,红蓝,msc,梳理
来源: https://blog.csdn.net/sycamorelg/article/details/112031415