跳转至

蓝队概览

蓝队构成

参考《解密彩虹团队非凡实战能力:企业安全体系建设》,范渊。

  • 威胁猎人
    • 主要负责高级威胁研究和分析,以及对尚未成功检测到的对手及其行为进行威胁狩猎
  • 威胁分析师
    • 主要负责NIDS、HIDS和SIEM等安全检测、安全事件管理系统的规则开发,以及告警分析、网络流量分析、漏洞评估、风险评估
  • 威胁情报分析师
    • 主要负责追踪和分析外部已知/未知的威胁行为者的活动。进行深网、暗网监控,开源情报收集(OSINT)、挖掘,并且最后分类总结成TTP、IOCs提供给其他团队进行利用、深层分析
    • 注:威胁行为者,Threat Actor,指影响某一实体的安全、所保障事件的个人或实体,即各种组织和执行恶意行为的个人和团体
  • 病毒分析师
    • 主要负责对安全事件中的恶意软件进行动态和静态分析,分析其功能、威胁行为及目标,提取IOCs及TTPs

image-20210312092543235

图:蓝队构成