温馨提示:文本由机器自动转译,部分词句存在误差,以视频为准
00:00
这一集我们来看elalas的security APP安装,和前面一样,双击点MCAPP,填好集群地址和apit,装好后在cloud桌面端就能直接用securityity APP自带一批贴近真实攻击的样例数据,每张卡片是一种攻击场景,还标好了MIT技战术,涵盖ma X云审计容器cuine,甚至包含一份故意作脏的混合格式录制。我们先把这些数据生成灌进K吧,那数据就绪,告警开始进入,这是告警三角116。
01:00
处理94条严重告警,按主机归类,这台RV03上有13条,点开一条RE1JSVR232,改了注册表,自提邮箱,典型的恶意行为可直接判定良性、可疑或恶意,还能看进程数、网络连接和关联告警。接下来的更合戏attack discovery, 他用AI把零散告警串成完整的攻击故事。比如这条Excel红投递TED木马风险分1584,它自动还原了工击链,从打开恶意文档到。
02:00
写注册表,持久化的,并标出用到的战术,初始访问,执行防御规避,持久发,每个发现都能展开成实体图,看清主机进程,用户怎么串行。你也可以直接用大白话发起一次成功的说略,我让他在所有疑似勒索的主机上做一次探,他自己写好ESQL,在告警索引里查为18条结果,并读出时间线。这不是单点时件,是四台主机上的勒索软件,狩猎不止一次,查询可以顺着。
03:00
线索一层层往下拉,他会边查边解释了每一步,在找发现可疑主机后丢进实体图,继续找这台w kstn recb零一十一个关联实体一目了然。这次聚焦横向移动PSXX以及445135139端口线索顺着PSX一路指向更核心的资源。他把整段调查整理成一份结构化的分析。
04:00
把分散在各主机的动作拼成一条完整的攻击叙事,攻击者的意图逐渐清晰,拿下整个玉。下一步是KBROS金票准备并清理备份为加密斯。于是我们把狩猎对比最关键的一台预控SRVBC01查询锁定据相关进程LSNTS,结果坐实了minix正在预控上抓取登录的据,从一个恶意CE红到拿下控完整的勒索杀伤链被。
05:40
这就是elastic APP.
粤公网安备44030502008569号
我来说两句