跳转至
安全运营之路
云安全概述
正在初始化搜索引擎
Toky/TheRoadofSO
安全运营之路
Toky/TheRoadofSO
Index
0x0 理解
0x0 理解
对安全运营的理解
安全运营做什么
安全运营的要素
安全运营相关文章
0x1 威胁情报
0x1 威胁情报
安全威胁情报简述
如何实现威胁情报共享
威胁狩猎
威胁情报与全流量异常检测案例分析
移动恶意代码分析及威胁情报
如何进行情报搜集?
情报研判
终端数据挖掘与威胁狩猎
WeChat内容审查研究(1)
威胁情报自动化生产
威胁情报库建设
威胁情报的生命周期
威胁情报数据源·整合
威胁情报的落地
威胁情报的困境
对情报收集工作的展望
关于情报学的资料集合
情报驱动安全自动化
国内外安全公司·整合
X-Day威胁分析与对战技巧
如何评估威胁情报?
对Starlink的测绘
0x2 威胁狩猎
0x2 威胁狩猎
威胁狩猎章节概要
2x0 狩猎方法论
2x0 狩猎方法论
MITRE ATT&CK实践入门
威胁狩猎学习笔记
威胁狩猎实战
全流量威胁狩猎
威胁狩猎相关资源
相关研究者和团队
社交媒体情报搜集实战
低信誉网站托管服务清单
威胁狩猎之行为向量
狩猎数据收集
2x1 侦察
2x1 侦察
T1589-001-收集目标组织身份信息-凭证
T1589-002-收集目标组织身份信息-邮箱地址
T1589-003-收集目标组织身份信息-员工姓名
T1590-001-收集目标组织网络信息-域属性
T1590-002-收集目标组织网络信息-DNS
T1590-001-收集目标组织网络信息-网络信任关系
T1590-004-收集目标组织网络信息-网络拓扑
T1590-005-收集目标组织网络信息-IP地址
T1590-006-收集目标组织网络信息-网络安全设备
T1591-001-收集目标组织信息-确定物理位置
T1591-002-收集目标组织信息-业务关系
T1591-003-收集受害者组织信息-确定业务节奏
T1591-004-收集目标组织信息-确定角色
T1592-001-收集目标组织主机信息-硬件信息
T1592-002-收集目标组织主机信息-软件信息
T1592-003-收集目标组织主机信息-固件信息
T1592-004-收集目标组织主机信息-客户端配置
T1593-001-搜索开放的域和网站-社交媒体
T1593-002-搜索开放的域和网站-搜索引擎
T1594-搜索受害者所拥有的网站
T1595-001-主动扫描_扫描地址段
T1595-002-主动扫描_漏洞扫描
T1596-001-搜索开放的技术数据库-DNS/被动DNS
T1596-002-搜索开放的技术数据库-WHOIS
T1596-003-搜索开放的技术数据库-数字签名
T1596-004-搜索开放的技术数据库-CDN
T1596-005-搜索开放的技术数据库-公开的扫描数据库
2x2 资源开发
2x2 资源开发
T1583-001-购买基础设施-域名
T1583-002-购买基础设施-DNS服务
T1583-003-购买基础设施-虚拟专用服务器
T1583-004-购买基础设施-服务器
T1583-005-购买基础设施-僵尸网络
T1583-006-购买基础设施-web服务
T1584-001-盗取基础设施-域名
T1584-002-盗取基础设施-DNS服务
T1584-003-盗取基础设施-虚拟专用服务器
T1584-004-盗取基础设施-服务器
T1584-005-盗取基础设施-僵尸网络
T1584-006-盗取基础设施-web服务
T1585-001-创建账户-社交媒体账户
T1583-002-盗取账户-电子邮箱账户
T1586-001-盗取账户-社交媒体账户
T1586-002-盗取账户-电子邮箱账户
T1587-001-开发能力-恶意软件
T1587-002-开发能力-代码签名证书
T1587-003-开发能力-数字证书
T1587-004-开发能力-漏洞利用
T1588-001-获取能力-恶意软件
T1588-002-获取能力-工具
T1588-003-获取能力-代码签名证书
T1588-004-获取能力-数字证书
T1588-005-获取能力-漏洞利用
T1588-006-获取能力-漏洞
T1608-001-阶段性能力-上传恶意软件
T1608-002-阶段性能力-上传工具
T1608-003-阶段性能力-安装数字证书
T1608-004-阶段性能力-Drive-by Target
T1608-005-阶段性能力-Link Target
2x3 初始访问
2x3 初始访问
T1078-003-windows-多账户同时登陆
T1078-003-win-来自公网的登陆失败行为
T1078-003-win-账户登录失败
T1133-001-深信服VPN任意密码重置
T1133-外部远程服务
T1190- Apache Log4j2漏洞利用检测
T1190-CNVD-2017-02833-fastjson1.2.24远程代码执行
T1190-CNVD-2018-24942-thinkphp5.x任意代码执行漏洞
T1190-CNVD-2022-03672-向日葵RCE漏洞检测
T1190-CVE-2010-1870-S2-005远程代码执行
T1190-CVE-2016-10033-PHPMailer<5.2.18远程代码执行
T1190-CVE-2018-2894-Weblogic任意文件上传检测
T1190-CVE-2019-19781远程代码执行
T1190-CVE-2019-3398 Confluence路径穿越漏洞
T1190-CVE-2019-6339-Drupal 远程代码执行漏洞
T1190-CVE-2020-0618-SQL_server远程代码执行漏洞
T1190-CVE-2020-0688漏洞利用检测
T1190-CVE-2020-13925-Apache Kylin 远程操作系统命令注入漏洞
T1190-CVE-2020-14882-Weblogic Console HTTP 协议远程代码执行漏洞
T1190-CVE-2020-1938漏洞利用检测
T1190-CVE-2020-1947-Apache ShardingSphere远程代码执行漏洞
T1190-CVE-2020-25540-目录遍历文件读取漏洞
T1190-CVE-2020-25790-Typesetter CMS文件上传漏洞
T1190-CVE-2020-35754-QuickCms访问控制错误漏洞
T1190-CVE-2020-5902-F5_BIG-IP-远程代码执行
T1190-CVE-2020-8193/CVE-2020-8195
T1190-CVE-2021-2109_Weblogic_LDAP_远程代码执行漏洞
T1190-CVE-2021-21402-Jellyfin任意文件读取漏洞
T1190-CVE-2021-21972 Vmware vcenter未授权任意文件/RCE漏洞
T1190-CVE-2021-41277-Metabase敏感信息泄露漏洞
T1190-CVE-2021-41773-Apache HTTP Server 2.4.49路径穿越漏洞
T1190-CVE-2021-42013-Apache HTTP Server 2.4.50路径穿越漏洞
T1190-CVE-2021-43798 Grafana 任意文件读取漏洞
T1190-Influxdb<1.7.6未授权访问漏洞
T1190-vBulletin5.X-RCE检测
T1190-JumpServer v2.6.1 RCE攻击检测
T1190-检测SQL server滥用
T1190-Thinkphp 5.x远程命令执行漏洞检测
T1190-可疑的SQL错误消息
T1190-泛微OA任意文件读取
T1190-联软任意文件上传
T1190-通达V11.6-RCE漏洞
T1190-邮箱暴力破解攻击流量分析
T1505-003-Regeorg-HTTP隧道检测
T1505-003-web服务产生的可疑进程
T1505-003-windows下webshell检测
T1566-001-win-可疑的MS Office子进程
2x4 执行
2x4 执行
T1027-004-win-基于白名单Csc.exe执行payload
T1047-win-基于白名单WMIC执行payload
T1047-win-通过WMIC创建远程进程
T1053-002-win-交互式AT计划任务
T1053-002-win-通过GPO计划任务进行大规模的持久性和执行
T1053-005-win-schtasks本地计划任务
T1059-win-基于白名单Powershell.exe执行Payload
T1059-001-win-检测Powershell2.0版本执行情况
T1059-001-win-检测Powershell下载文件
T1059-004-linux-脚本
T1059-win-基于白名单Certutil.exe执行Payload
T1059-win-基于白名单Ftp.exe执行Payload
T1059-windows-进程生成CMD
T1218-011-win-基于白名单Zipfldr.dll执行Payload
T1086-windows-powerhsell
T1127-win-基于白名单Msbuild.exe执行payload
T1154-linux-trap
T1218-001-win-基于白名单Compiler.exe执行payload
T1218-003-win-基于白名单Cmstp.exe执行Payload
T1218-004-win-基于白名单Installutil.exe执行payload
T1218-005-win-基于白名单Mshta.exe执行payload
T1218-007-win-基于白名单Msiexec执行Payload
T1218-008-win-基于白名单Odbcconf.exe执行Payload
T11218-009-win-基于白名单Regasm.exe执行payload
T1218-010-win-基于白名单Regsvr32执行payload
T1218-011-win-基于白名单Rundll32.exe执行payload
T1218-011-win-基于白名单url.dll执行payload
T1218-011-win-通过Rundll32的异常网络链接
T1218-win-基于Atbroker.exe执行恶意载荷(白名单)
T1559-001-win-利用进程间通信执行-组件对象模型-COM
T1559-002-win-利用进程间通信执行-动态数据交换-DDE
T1559-002-win-利用进程间通信执行-动态数据交换-OLE
2x5 权限维持
2x5 权限维持
T1078-001-win-DSRM密码重置
T1098-004-linux-账户操纵-SSH Authorized Keys
T1098-Windows-AdminSDHolder
T1098-win-万能密码
T1098-win-账户操作
T1136-001-linux-创建用户
T1136-001-win-创建本地账户
T1137-002-win-office应用启动程序-office test
T1137-004-win-office应用启动程序-outlook主页
T1176-浏览器扩展
T1197-win-BITS Jobs权限维持
T1543-003-windows服务-Dnscmd.exe(白名单)
T1546-001-win-事件触发执行-更改默认文件关联
T1546-002-win-事件触发执行-屏幕保护程序
T1546-004-linux-.bash_profile和.bashrc
T1546-007-win-通过netsh key持久化
T1546-012-win-事件触发执行-图片文件执行选项注入
T1546-015-win-组件对象模型劫持-Dllhost.exe(白名单)
T1547-005-win-SSP权限维持
T1548-001-linux-Setuid and Setgid
T1550-003-win-黄金票据
2x6 权限提升
2x6 权限提升
T1037-001-win-Boot或logon初始化脚本-登录脚本
T1078-003-win-可疑的失败登录行为
T1134-001-win-CVE-2020-1472
T1134-001-win-访问令牌操作-Runas命令
T1134-005-win-SID历史记录注入
T1212-windows-MS14-068-KEKEO
T1212-windows-MS14-068-PYKEK
T1505-003-webshell-冰蝎
T1505-003-webshell-冰蝎
T1548-002-win-绕过用户账户控制-Eventvwr.exe(白名单)
T1548-003-linux-CVE-2019-14287
T1169-linux-Sudo
T1574-001-win-劫持执行流程-DLL搜索顺序劫持
2x7 逃避追踪
2x7 逃避追踪
T1006-win-直接访问卷
T1014-win-Rootkit
T1027-003-win-Ping Hex IP
T1027-004-win-传输后编译
T1027-005-linux-主机上的监测组件删除
T1027-005-windows-SDelete删除文件
T1036-003-win-重命名程序名称
T1036-004-win-伪装服务或任务
T1036-windows-隐藏用户账户带$符号
T1070-001-win-使用wevtutil命令删除日志
T1070-001-win-检测cipher.exe删除数据
T1070-001-windows-清除事件日志
T1070-003-linux-清除历史记录
T1070-004-linux-文件删除
T1070-004-win-使用Fsutil删除卷USN日志
T1070-004-win-文件删除
T1070-005-win-删除网络共享连接
T1070-006-win-Timestamp
T1127-win-受信任的开发者实用程序代理执行(白名单)
T1127-win-受信任的开发者实用程序代理执行-Jsc.exe(白名单)
T1140-win-去混淆/解码文件或信息
T1202-win-间接命令执行-基于Explorer.exe执行payload(白名单)
T1202-win-间接命令执行-基于Forfiles执行payload(白名单)
T1202-win-间接命令执行-基于Pcalua执行payload(白名单)
T1216-001-win-签名脚本代理执行-PubPrn
T1216-win-签名脚本代理执行
T1218-001-win-编译HTML文件
T1218-002-win-签名的二进制代理执行:控制面板
T1218-002-win-签名的二进制代理执行:控制面板
T1220-win-XSL Script Processing
T1221-win-模板注入
T1222-001-win-fltmc卸载筛选器驱动程序
T1222-001-win-文件权限修改
T1222-002-linux-文件权限修改
T1562-001-windows-绕过sysmon
T1562-001-windows-停止Windows防御服务
T1562-001-win-卸载安全工具使用的驱动程序-fltMC.exe(白名单)
T1562-003-linux-Histcontrol
T1562-006-windows-停止日志采集
T1564-001-linux-隐藏文件和目录
T1564-001-win-发现攻击者在回收站中隐藏恶意软件
T1564-001-win-隐藏的文件和目录
T1564-003-windwos-隐藏窗口
2x8 凭证获取
2x8 凭证获取
T1003-002--windows-基于SAM-reg凭证获取
T1003-003-windows-基于NTDS凭证转储2
T1003-003-win-使用vssown.vbs获得NTDS.dit文件
T1003-003-win-使用ntdsutil获得NTDS.dit文件
T1003-003-windows-基于NTDS凭证获取1
T1003-003-win-基于应用日志检测Ntdsutil获取凭证
T1003-004-windows-基于LSA凭证获取
T1003-005-win-DCC2-mimikatz凭证获取
T1003-006-windows-基于DCsync凭证获取
T1003-windows-Procdump明文凭证
T1003-win-vaultcmd获取系统凭据基本信息
T1003-win-使用Windows任务管理器转储Lsass.exe内存
T1003-win-使用comsvcs.dll转储Lsass.exe内存
T1040-linux-网络嗅探
T1098-win-万能密码
T1098-win-账户操作
T1110-003-linux-ssh爆破
T1110-003-windows-密码喷射
T1110-暴力破解
T1552-001-linux-文件中的凭据
T1552-001-win-文件中的凭证
T1552-002-win-注册表中的凭证
T1552-003-linux-Bash历史记录
T1552-004-linux-私钥
T1552-006-windows-基于GPP凭证获取
T1555-003-windows-来自web浏览器的凭证
T1555-005-win-cmdkey获取凭据(白名单)
T1555-005-win-常见凭据存放位置
T1558-003-windows-基于SPN凭证获取
T1558-003-win-kerberosing
2x9 发现
2x9 发现
T1007-系统服务发现
T1010-win-应用程序窗口发现
T1012-win-查询注册表
T1016-win-系统网络配置发现
T1018-win-检测nbtscan活动
T1018-win-远程系统发现
T1033-系统所有者/用户发现
T1040-linux-网络嗅探
T1040-win-使用netsh进行网络嗅探
T1049/1069-bloodhound使用
T1049-系统网络连接发现
T1057-win-进程发现
T1069-001-win-AD特权组/用户枚举
T1069-002-AD特权组/用户枚举
T1082-win-系统信息发现
T1083-win-文件和目录发现
T1087-001-linux-本地账户发现
T1114-001-win-本地电子邮件收集
T1119-win-Seatbelt自动收集信息
T1119-win-自动收集
T1120-win-周边设备发现
T1123-win-使用AudioDeviceCmdlets音频收集
T1123-win-使用soundrec音频收集
T1124-系统时间发现
T1135-win-网络共享发现
T1201-win-密码策略发现
T1482-win-活动目录信息获取检测
T1518-001-win-利用wmic发现安全软件
T1518-001-win-安全软件发现
T1518-win-发现安全软件
T1557-002-linux-ARP网络嗅探
T1590-win-DNS记录获取
2xA 横向移动
2xA 横向移动
T1021-001-win-使用Start_Rdp开启远程桌面服务
T1021-002-win-基于白名单PsExec执行payload
T1021-002-windows-管理员共享
T1021-006-win-远程powershell会话
T1210-win-异常的SMB链接行为
T1210-win-检测到匿名计算机账户更改的使用
T1550-002-windows-哈希传递
T1563-002-win-远程服务会话劫持-RDP劫持
2xB 内网信息收集
2xB 内网信息收集
T1560-001-win-通过winrar压缩数据
T1560-001-win-通过winrar压缩数据
2xC 命令与控制
2xC 命令与控制
T1008-备用通信通道
T1071-001-应用层协议-网络协议
T1071-002-win-内网FTP链接到公网行为
T1071-004-win-内主机向公网DNS发起可疑请求行为
T1090-001-win-链接代理
T1092-通过可移动媒介传播
T1095-非应用层协议
T1105-Windows Update被发现可滥用于执行恶意程序行为检测
T1105-win-入口工具转移-AppInstaller.exe(白名单、失效)
T1105-win-入口工具转移-CertReq.exe(白名单)
T1105-win-入口工具转移-# Finger.exe(白名单)
T1105-win-入口工具转移-IMEWDBLD.exe(白名单)
T1105-win-入口工具转移-desktopimgdownldr.exe(白名单)
T1105-win-入口工具转移-ieexec.exe(白名单)
T1105-Win-利用cmdl32进行文件下载行为(白名单)
T1105-win-命令提示符网络链接
T1521-标准加密协议
T1562-002-动态解析-域名生成算法(DGA)
T1571-非标准端口
2xD 渗出
2xD 渗出
Index
T1020-win-自动渗出
T1567-win-通过Web服务进行渗透-DataSvcUtil.exe(白名单)
2xE 影响
2xE 影响
T1489-win-停止服务
T1490-win-禁止系统恢复
T1529-win-系统关机或重启
T1489-win-停止服务
T8000-win-使用User_Del删除用户
2xF 软件
2xF 软件
软件篇概要
Fx2 Sliver
0x3 企业安全建设
0x3 企业安全建设
安全数据分析平台的架构
ATT&CK矩阵的SOC建设
相关文章
企业业务风控平台建设
电报监控平台建设
企业安全中价值需求和成熟度模型
理解企业安全运营中的威胁交换
MITRE Shield知识库
数据驱动安全2.0
入侵检测&防护系统概述
3xC 态势感知相关
3xC 态势感知相关
态势感知
相关工作整合
态势感知相关书籍
相关产品
解决方案汇总
趋势报告
3xD 管理与运营
3xD 管理与运营
从安全负责人的角度谈安全的商业价值
SOC定位与功能模型选择
杂记
0x4 安全数据分析
0x4 安全数据分析
数据分析相关
数据驱动安全入门概览
研究方向与相关研究者
工程化实战思路
告警筛选笔记
关于数据驱动事件调查的思考
威胁检测与响应(闭环)思路汇总
关于自动化威胁分析的探索
基于数据的隐蔽通讯检测
基于数据的代理通信检测
安全数据分析相关资料整合
威胁检测模型
基于Rapid7数据集的安全分析实战
基于机器学习的恶意URL检测
相关比赛
4x2 DNS安全
4x2 DNS安全
DNS安全概览
机器学习与DNS安全
DNS安全相关论文
4x3 算法实现
4x3 算法实现
机器学习算法实现
4x7 安全数据集
4x7 安全数据集
开放安全数据集整理
4xF 安全知识图谱
4xF 安全知识图谱
知识图谱及其在安全领域的应用
0x5 攻防对抗
0x5 攻防对抗
5x1 红队相关
5x1 红队相关
红队概览
1x1 信息收集
1x1 信息收集
重要端口与服务
常见网站架构
5x2 蓝队相关
5x2 蓝队相关
蓝队概览
蓝队资源整合
恶意流量分析练习
5x3 紫队相关
5x3 紫队相关
云靶场搭建
0x6 应急响应
0x6 应急响应
数字取证和事件响应
溯源案例整理
数据驱动的威胁检测和攻击溯源—学习笔记
日志、告警和事件
[TODO]主机应急响应
TODO 从流量中检测C2通信
隐蔽通讯的检测
[Doing] 网络流量分析(NTA)简述
恶意流量分析工具
端口与对应服务清单
0x7 黑灰产研究
0x7 黑灰产研究
黑灰产研究
关于流量劫持问题
黑灰产的资产信息搜集
黑灰研究案例
黑灰产形式
黑灰产整治法规政策
黑词、黑话整理
对于黑灰产行业的产业链分析
相关研究者
代理技术相关研究
典型(反欺诈)业务场景风险分析
黑灰产数据监控
黑灰产舆情监控
黑灰产形式研究——真人众包类
反欺诈类产品调研
7xG 基础设施
7xG 基础设施
黑灰产基础设施
接码平台整理
打码平台整理
IP资源整理
群控相关
低信誉网站托管服务清单
7xH 黑灰产对抗
7xH 黑灰产对抗
场景下的风险分析
[TODO]工具对抗
总体的思路
[TODO]算法层面上的对抗分析
秒拨IP对抗
7xI 黑产情报生产
7xI 黑产情报生产
黑灰产情报生产概论
0x8 业务安全
0x8 业务安全
8x1 反爬研究
8x1 反爬研究
反爬研究
8x2 业务安全漏洞相关
8x2 业务安全漏洞相关
业务安全漏洞挖掘
0x9 安全开发
0x9 安全开发
安全运营工具开发
安全开发 - 方案笔记
开源工具分析
0xA 学习记录
0xA 学习记录
README
0xB 系统安全
0xB 系统安全
README
安全系统整理
安全产品中的规则引擎
Bx3 SOAR平台调研
0xC 产品与设计
0xC 产品与设计
README
产品概念
如何将产品思路“提现”?
安全产品杂记
0xD 云安全
0xD 云安全
云安全概述
云原生漏洞学习笔记
云原生与云计算
云中的信息搜集
容器逃逸
容器镜像安全
0xE 学术相关
0xE 学术相关
[Doing] 信息安全相关学术资料整理
论文日读:Mining Data Provenance to Detect Advanced Persistent Threats
论文日读:Last Line of Defense: Reliability Through Inducing Cyber Threat Hunting With Deception in SCADA Networks
论文日读:From TTP to IoC- Advanced Persistent Graphs for Threat Hunting
论文日读:Enabling Efficient Cyber Threat Hunting With Cyber Threat Intelligence
0xF 认证相关
0xF 认证相关
认证相关
Fx1 OSCP
Fx1 OSCP
OSCP 认证考试
About
About
关于文档( •̀ ω •́ )y
Release Notes
Refer
Refer
名词解释
云安全概述