HW研判指南

# 监测和研判岗位的区别
## 监测人员
负责安全设备告警监测，做初步的分析判断以及处置，如无法直接判断或者处理的告警进行上报。

## 研判人员
对监测人员上报的事件做进一步的分析及处置。

# 前期准备
1、熟悉流量监控平台
熟悉设备功能页面，熟悉日志检索和筛查方式，具备基本的攻击排查和追溯思路。
2、熟悉客户的网络环境，熟悉网络拓扑，设备部署位置，了解基本的流量走向。
3、熟悉客户的资产属性，排除一些正常业务触发的告警。
4、过滤僵尸网络等主机层的告警，重点关注web攻击以及内网攻击。

# 研判经验：
1、拿到告警之后，首先观察请求包有无明显的攻击payload，其次观察返回包有无命令执行返回的数据等。
2、对源ip进行资产属性进行确认，排除业务触发，国外ip一律先封禁。
3、筛查近一段时间内是否有流量日志记录，如无，且短时间内发起大量请求，可封禁。
4、对一些攻击成功告警，可在客户同意情况下，同步进行复现确认攻击成功与否。
5、如内网出现大量扫描、爆破告警可，极大可能已经失陷，上报并协同溯源人员进一步处置。

# 另附
【研判专题】蓝队三板斧！
https://cloud.tencent.com/developer/article/2238020

护网研判面试题
https://docs.qq.com/sheet/DVENBYnNRUHJBRkJZ?tab=000001

蓝队研判工具箱
https://github.com/abc123info/BlueTeamTools

奇安信部分设备操作培训视频及课件
包含内容：Linux&Windows应急响应，椒图告警分析，天眼&NGSOC告警分析
下载地址
链接: https://pan.baidu.com/s/1rkfWS2ag8XHzxLDamEVhwg?pwd=j2h7
提取码: j2h7

某同学研判总结：
> 护网心得封IP yyds
我这边因为是进的YX安全，我这边是根据客户系统（waf蜜罐啥的）编写的python的自动爬取程序，每半小时爬一次，设了些规则整理攻击告警（如高危直接输出，中危7天内同一iP告警30次输出等）输出的IP走微步排查（蜜罐直接封，微步排查恶意或者境外直接封，境内非恶意上设备看攻击流量是什么，大部分真实攻击都有很明显的攻击片段如echo，../, wget等 ）

> 研判是否成功我总结是4看1试
1、看安全设备拦截与否（拦截肯定失败）
2、看类型与状态码，比如文件上传，返回状态码是500，404什么的基本都不成功
3、看流量与响应，有很对扫描流量里比如echo sadfh 返回里也有sadfh字符串也是成功
4、看内网全流量，如log4j，fastjson等dnslog的，看攻击出现后对应设备是否有向dnslog发起请求。
1试就是自己也打一打，看有没有预计出现的现象

> 应急的话，linux Gscan赛高，不过经常扫描用户目录会卡死，可以修改代码里用户目录的插件，填写更精确的扫描目录，进行排查。
剩下的应急细节就比较多，总体上来讲还是要了解攻击队的手法，去想我是攻击队，我会做什么，（比如网络杀伤链模型啥的，att&ck啥的）从初始的现象出发，把找到的线索大致的对应上去，思考什么样的攻击或者步骤，会在哪里（如日志）留下什么样的痕迹，一但从应急角度缺失了某部分内容（比如看到webshell，但日志删干净了有没有其他流量监控设备），就申请下权限，当场化身攻击队，自己试一试