python2.x
1.修改client.py中的ep_address变量,指向enterprise采集器地址
2.需要哪种场景日志直接进入目录运行client.py
- Wanacry(热点事件:永恒之蓝)
- 触发告警
- 外网主机发起特定端口扫描(自行添加情报)
- 外网主机发起MS17-010攻击(自行添加CEP规则)
- sysmon—检测到WannaCry病毒(自行添加CEP规则,3.5内置)
- 内网主机发起特定端口扫描(自行添加情报)
- 内网主机发起MS17-010攻击(自行添加CEP规则)
- sysmon—检测到WannaCry病毒(自行添加CEP规则,3.5内置)
- 内网主机发起特定端口扫描(自行添加情报)
- 需要事件
- 网络连接
- 漏洞利用(添加IDS解析规则)
- windows进程创建
- 触发告警
- demo1(经典场景:从web入侵内网)
- 触发告警
- 外网主机发起端口扫描
- 网站高频访问(自行添加情报)
- 网站高频404访问(自行添加情报)
- 通用web攻击
- Web攻击返回状态码200
- 发现webshell后门连接(自行添加CEP规则)
- 发现metapreter后门连接(自行添加CEP规则)
- 针对特定账号的FTP暴力破解
- 内网主机针对特定账号的FTP暴力破解
- 针对特定主机的FTP暴力破解
- 内网主机针对特定主机的FTP暴力破解
- 需要事件
- 网络连接
- web访问(解析规则目的地址设为默认10.10.10.10)
- webshell攻击(添加IDS解析规则)
- 后门连接(添加IDS解析规则)
- ftp登录
- 触发告警
- demo2(真实案例:smtp暴力破解)
- 触发告警
- 针对特定账号的smtp暴力破解(自行添加CEP规则)
- 需要事件
- smtp登录(添加smtp解析规则)
- 触发告警
- demo3(APT:震网3代)
- 触发告警
- 发现疑似震网攻击(自行添加CEP规则,3.5内置)
- 内网主机发起MS17-010攻击(自行添加CEP规则)
- 需要事件
- windows注册表值修改
- windows主机镜像加载
- 触发告警
- demo4(blackhat最佳客户端漏洞:CVE-2017-0199)
- 触发告警
- HTA程序异常调用(自行添加CEP规则,3.5内置)
- 需要事件
- windows进程创建
- 触发告警
- demo5(多个设备关联分析,发现web攻击后主机感染木马)
- 触发告警
- 外网主机发起特定端口扫描(自行添加情报-监控扫描端口8080)
- 通用web攻击
- 发生web攻击后检测到主机感染病毒(自行添加CEP规则)
- 需要事件
- 网络连接(FW_H3C_SecPathF100系列_6)
- web攻击sql注入(WAF_绿盟_通用_6)
- 检测到病毒(防病毒_赛门铁壳_SEP_7)
- 触发告警