本文介绍了网络安全应急响应中常用的几种工具,如SysinternalsSuite(管理、诊断工具),PCHunter/火绒剑/PowerTool(内核监控),ProcessMonitor(监控系统操作),EventLogExplorer(日志分析),LogParser(日志解析),ThreatHunting(威胁检测),以及奇安信的自动化分析工具(攻击链条分析、路径分析、日志分析和数据关联)。
在网络安全应急响应中可使用的工具很多,以下介绍部分常用工具。
SysinternalsSuite
- SysinternalsSuite是一个工具合集,如图所示。其中的工具可以用于管理、故障分析和诊断Windows系统级应用程序。如,使用ADExplorer可轻松实现导航AD数据库、定义收藏位置、查看对象属性,而无需打开对话框、编辑权限、查看对象架构,以及执行复杂搜索;使用TCPView可查看网络连接情况;使用PsExec可在远程系统上启动交互式命令提示和IPConfig等远程启动工具;使用Autoruns可对进程、服务、启动项等进行检测;使用procdump,可对内存进行获取等。
PCHunter/火绒剑/PowerTool
- PCHunter是一个强大的内核级监控工具,可以查看进程、驱动模块、内核、网络、注册表、文件等信息,如图所示。
- 与PCHunter功能相似的还有火绒剑、PowerTool,图为火绒剑工具截图。
- 图为PowerTool截图。
Process Monitor
- Process Monitor 可以监控程序的各种操作,其中主要监控程序的文件系统、注册表、进程、网络、分析。由于Process Monitor监控的是系统中所以程序的运行,数据量往往很大,因此为了方便分析数据,可以设置过滤对话框选项,通过选择【Filter】菜单中的【Filter】命令,打开【Process Monitor Filter】对话框进行设置,如图所示。
Event Log Explorer
- Event Log Explorer是一个检测系统安全的工具,可以查看、检索和分析日志事件、包括安全、系统、应用程序和其他windows系统记录事件。图为工具截图。
FullEventLogView
- FullEventLogView是一个轻量级的日志检索工具,能够显示并查看Windows系统事件日志的详细信息,可以查看本地计算机的事件,也可以查看远程计算机的事件,并可将事件导出为text、csv、tab-delimited、html、xml等格式文件,如图所示。
Log Parser
- Log Parser是微软公司推出的日志分析工具,功能强大,使用简单,可以分析基于文本的日志文件、XML格式文件、CSV(逗号分隔符)格式文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。它可以像SQL语句一样查询、分析这些数据,甚至可以把分析结果以各种图表的形式展现出来,如图所示。
ThreatHunting
- ThreatHunting是观星实验室开发的工具,可以对日志、进程、Webshell等进行检测,如图所示。
WinPrefetchView
- WinPrefetchView是一个预读取文件(Prefetch文件)查看器,用于读取存储在系统中的预读文件,如图所示。
WifiHistoryView
- WifiHistoryView是一个自动读取系统里的无线网卡连接记录的工具,运行后可以查看连接时间、事件发生的类型、、所用到的网卡、连接上的网络SSID名称、加密类型等信息,如图所示。
奇安信应急响应工具箱
自动攻击链条分析
- 面对大量主机日志,如何快速将每台主机的攻击链条串联起来至关重要。攻击链条(事件串联)功能可自动将多台主机日志的攻击行为以时间为节点形式呈现,同时还将攻击方法、动作分类展现,如图所示。
自动攻击路径分析
- 自动攻击路径分析功能可分析出攻击者攻击的完整路径,包括首次访问的信息、账号和密码爆破情况、使用的漏洞情况等,如图所示。
自动主机日志分析
- 自动主机日志分析内容包括成功/失败、新建服务、新建账号、权限修改等事件,如图所示。
自动数据关联分析
- 自动数据关联分析功能可将存在攻击行为的主机的访问时间、连接次数、攻击行为等进行关联,实现攻击链路可视化展现,还可查看采集信息的主机节点、检测到有攻击行为的节点、威胁情报标识节点和无标识节点,其中只包含单台主机的有向图为单向,包含多台主机的有向图为双向。界面左侧可根据不同主机、不同账号、不同行为、不同登录的情况进行筛选;界面下方为时间轴,可根据不同时间进行拖动,展示对应时间段主机被攻击的情况,如图所示。
扫一扫
564
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
