网络攻防学习笔记 Day90

IDS 可以是基于主机的入侵检测系统（Host-based Intrusion DetectionSystem，HIDS），其中 IDS 机制将仅检测针对特定主机的入侵尝试，也可以是基于网络的入侵检测系统（Network-based Intrusion Detection System，NIDS），其中它检测针对安装了 NIDS 的网段的入侵。

规划 NIDS 部署位置时，应优先考虑以下网段：DMZ/边界、核心企业网络、无线网络、虚拟化网络、其他关键网段。

了解用户行为方式是基础，通过跟踪合法流程组织可以利用用户和实体行为分析（User and Entity Behavior Analytics，UEBA）来发现安全漏洞。使用 UEBA 检测攻击有很多优点，但其中最重要的一点是能够在早期阶段检测到攻击并采取纠正措施来遏制攻击。

快速验证的选择是https://fraudguard.io网站。你可以执行快速 IP 验证从该位置获取威胁情报。

并非每个事件都是与安全相关的事件，因此，在开始调查之前确定问题的范围至关重要。有时，有些症状可能会导致你最初认为正在处理与安全相关的问题，但随着更多问题的提出及更多数据的收集，你可能会逐渐意识到该问题并非与安全真正相关。

许多组织已经在通过威胁猎杀进行主动威胁检测。有时蓝队的成员会被选为威胁猎人，他们的主要目标是（甚至在系统触发潜在告警之前）识别攻击指示器（Indications of Attack，IoA）和攻陷指示器（Indications of Compromise，IoC）。这非常有用，因为它使组织能够积极主动地走在前面。威胁猎人通常会利用 SIEM 平台中的数据来查询失陷的证据。