一、天眼设备
1、在天眼设备中,sip、dip、sport、dport字段的含义?
答:sip是源IP、dip是目的IP;sport是源端口、dport是目的端口。
2、在天眼分析平台DNS协议中的dns type字段的含义是什么?
答:dns type表示DNS请求类型;0表示DNS请求、1表示DNS响应。
3、dns_type中的addr代表什么?
答:表示该host对应的IP地址信息.
4、天眼可以捕捉到远程的cmd命令吗?
答:可以捕捉到,比如攻击者远控你内网机器,执行cmd并返回结果。
5、天眼告警可以显示的结果,除了成功和失败还有什么嘛?
答:成功、失败、未知、尝试
未知:一般都是告警生成了错误,可以忽略。
尝试:可能成功也可能失败,需要全部分析。
6、内网横向有哪些告警类型?
答:cs相关告警、隧道类告警、内网段的漏洞扫描、暴力破解等。
补充:如果内网主机对内部其他主机进行攻击,说明该内网主机可能已经沦为攻击者的跳板机,企图控制更多的内网的其他主机。
7、使用天眼设备如何判断资产是否失陷?
答:受害资产不断对外联恶意地址,受害资产有shell连接或者隧道类告警。
8、当出现受害IP为源的时候是什么情况?
答:当网络攻击这使用IP伪造技术或IP欺骗技术时,可能会发生IP为源的情况。
9、在天眼分析中,SSL协议字段中表示服务器名称的字段是什么?
答:server name
10、在天眼分析中,威胁告警检索字段中attack sip字段的含义是什么?
答:指的是攻击者的IP
11、在天眼分析平台中,proto字段表示的含义是什么?举两个邮件应用的例子?
答:proto表示协议;邮件应用协议有ETP、POPIMAP
12、天眼分析平台中,IOC代表什么含义、反映?
答:IOC表示匹配成功的威胁情报
IOC反映主机或网络失陷的特征信息,包括入侵工具、恶意软件和攻击者的属性。
13、在天眼中怎么搜索一个在日志里指定的端口?怎么把两个端口连接一起查询?
答:sport eq 80
sport eq 80 or sport eq 445
14、一个告警的目的IP是114.114.114.144,端口是53,在这样的告警,我们应该对其IP和端口进行封禁吗?
答:不能封禁,明显是dns服务器转发的地址和端口,我们需要进一步确认真实受害资产的IP信息。
15、在天眼分析平台中,如何搜索源IP为A,目的IP为B的网络日志?
答:ip(A) AND dip(B)
补充:AND运算符一定要大写。
16、在天眼分析平台中,有哪些运算符?
答:AND OR NOT
17、天眼分析平台模糊搜索,应该怎么查询语句?
答:直接在日志检索模块里去搜索你要输入的关键字,使用“*”加部分名称进行检索。
18、GEO字段代表什么?
答:代表IP对应的地理位置
19、不出内网的主机通过哪种代理方式建立连接?
答:可以通过正向代理建立连接。