1. 監(jiān)測

攻防演練開始前，要對監(jiān)測設備的告警規(guī)則進行調優(yōu)。

• 僵尸、木馬、蠕蟲、C2遠控類告警可以直接忽略

• 挖礦病毒類告警視情況而定，如果時間充裕可以去處置

• 重點關注web層面的攻擊，如SQL注入，命令執(zhí)行、文件上傳+中高危+攻擊成功

• 各種高危CVE漏洞+攻擊成功重點關注

• Webshell類告警單獨設規(guī)則，設備上不一定顯示攻擊成功，可能顯示嘗試，但這并不代表它沒有攻擊成功，而要去看流量上下文，看命令執(zhí)行和響應體，看是否持續(xù)訪問固定webshell路徑即關注頻率

• 像類冰蝎Webshell類告警很有可能是魔改后的冰蝎馬，需要持續(xù)關注

• 內(nèi)存馬需上機排查，在告警設備上的特征是持續(xù)告警攻擊成功，但是路徑不固定，響應體中無內(nèi)容。上機排查關注error.log，使用腳本進行掃描。

• 真實場景中，由于網(wǎng)絡拓撲環(huán)境錯綜復雜，簡單的00，10判斷方向往往失效，要隨機應變

• frp、fscan、隧道流量單獨設規(guī)則

2. 研判

一般進行研判的思路，就是通過流量上下文+手工驗證+攻擊頻率次數(shù)來判斷是否漏洞是否存在，是否攻擊成功。
如下圖，就可以判斷訪問webshell進行命令執(zhí)行，可以判斷攻擊成功且上傳了webshell：

又如最近的Nacos授權繞過漏洞，原始告警如下圖：

通過查看流量原文可以確定攻擊成功，如下圖：

這里需要注意，很多告警如redis未授權，mongodb未授權等未授權漏洞攻擊成功在流量上下文中不能體現(xiàn)，需要去手動驗證。
如redis驗證未授權redis-cli -p 端口 -h 受害者IP
其他未授權可以直接訪問路徑查看

但是即使你無法驗證成功，也不能
就研判為誤報，而要結合攻擊成功告警的頻率（比如說它已經(jīng)告警成功了20000+），很有可能由于網(wǎng)絡拓撲的復雜，在你當前所處的環(huán)境中無法驗證成功，此時可以讓其他不同的網(wǎng)絡環(huán)境中同事幫忙驗證。

3. 應急溯源

攻防中大家分工明確，應急溯源分工又不是很明確，可能多個團隊在做同一件事，所有溝通非常重要。

時效性非常重要，必須盡快出報告。

白嫖學習資料：環(huán)境搭建資料+工具包+全套視頻 - 嗶哩嗶哩?