跳转至

安全运营工具开发

IOC Explorer

IOC: Indicator of Compromise

关联失陷指标是安全事件调查乃至威胁狩猎的重要步骤。发现一个主机的IP地址与多个恶意文件存在关联,并且进一步确认这个主机旨在提供恶意文件下载服务,该发现有助于让安全运营团队实施更加有效的安全预防措施,比如:阻断内部主机与该恶意IP的访问连接。

IOC Explorer旨在协助分析人员在所有可用的威胁情报源中自动执行迭代查询,并在所有失陷指标间构建清晰的树状关系结果。在减轻了人工负担的同时,该工具也会协助分析人员发现更多调查线索。

  • 工具链接:Link

  • 文章链接:Link

威胁发现设备

TDA:Threat Discovery Appliance

这个概念主要围绕威胁的发现、定位和处置。常常是软硬件结合的,需要专家经验的(当然,自动化是方向)。

全流量检测设备

部署场景主要为以下几种:

  • 内网部署,连接内网交换机端口镜像进行流量采集

  • 出口部署,连接网络出口交换机的镜像端口

  • 分布式探针部署,探针模式,并常采用分布式部署进行流量采集

  • 骨干网部署,高带宽场景下,对采集率和还原能力有特别的要求

  • 便携式部署,使用特定的硬件设备,可随身携带进行检测