蓝队基础1

声明
学习视频来自B站UP主泷羽sec,如涉及侵权马上删除文章
笔记的只是方便各位师傅学习知识,以下网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负

泷羽sec的个人空间-泷羽sec个人主页-哔哩哔哩视频
https://space.bilibili.com/350329294

一，企业网络架构概述

企业网络架构是企业信息技术（IT）基础设施的核心组成部分，它决定了企业如何管理和保护其信息资源。以下是根据给定搜索结果对企业网络架构的概述。

高层管理角色

企业网络架构的管理通常由高层管理人员负责，包括CIO（首席信息官）和CTO（首席技术官）。CIO负责企业信息系统的战略规划、管理和优化，确保信息技术与企业战略保持一致。CTO则负责运营技术的整体方向，包括技术创新、研发、技术选型等。

IT管理架构

IT管理架构包括中央系统和自带设备（BYOD）策略。中央系统集中管理企业内的所有IT资源，包括软件、硬件和数据。BYOD策略允许员工自带移动设备（如手机、平板电脑）接入企业网络，但需要制定相应的安全策略和管理规定。

中央技术团队

中央技术团队包括客户服务团队、基础设施团队、数据库管理团队和技术团队。这些团队负责技术支持、网络和服务器维护、数据库管理以及技术运营等日常工作。

安全部门

安全部门由**CISO（首席信息安全官）**领导，负责企业整体的信息安全策略、规划和管理。安全部门需要向CIO、CTO、CFO（首席财务官）和CRO（首席风险官）报告，确保信息安全与企业战略、财务和风险管理保持一致。

典型企业网络分区

企业网络通常划分为不同的安全区域，以控制区域之间的访问权限。这些区域包括DMZ（非军事区）、蜜罐、代理、VPN、核心网络、内部网络和安管区等。

模糊的边界

随着云计算和SaaS服务的普及，传统网络结构逐渐减少，越来越多地在云中部署基础架构或使用SaaS服务。这导致了企业网络边界的模糊化，需要新的身份凭据同步机制甚至SSO（单点登录）解决方案来管理用户访问。

外部攻击面

企业需要收集开源情报并绘制网络范围内全部节点，关闭无用节点，减少攻击面。使用工具如nmap进行网络扫描，发现并加固未加固设备，测试漏洞入口，并使用漏扫软件验证漏洞存在性。

身份管理

身份管理是确保企业信息安全的重要环节。通过实施严格的身份认证和访问控制策略，企业可以有效地防止未经授权的访问，保护敏感信息免受潜在威胁的侵害。

结论

企业网络架构是一个复杂而多层次的系统，涉及多个管理角色、技术团队和安全策略。通过合理规划和管理企业网络架构，企业可以提高其信息资源的安全性和可用性，从而更好地支持其业务目标和战略。

二，企业管理技术

信息安全管理成熟度模型（ISM3）

信息安全管理成熟度模型（ISM3）是一种用于评估和改进企业信息安全管理的框架。它描述了企业安全运行和管理流程的成熟度等级，为企业提供了改进信息安全管理的指导。通过采用ISM3模型，企业可以识别其信息安全管理的现状，并制定相应的改进计划，以提高其信息安全管理的水平。

安全职能

安全职能涵盖了战略、战术和运营安全的所有方面。CISO（首席信息安全官）负责管理运营，确保企业信息安全策略的有效实施和持续改进。CISO需要与企业的其他高层管理人员（如CIO、CTO、CFO和CRO）密切合作，以确保信息安全与企业战略、财务和风险管理保持一致。

安全团队成员

安全团队成员应了解企业文化、组织和关键人员，以及推动业务成功的关键流程。这有助于安全团队在企业内部树立积极形象，提高信息安全意识和管理水平。通过与企业内部的其他团队和部门合作，安全团队可以更好地保护企业的信息资源，降低潜在威胁的风险。

结论

信息安全管理成熟度模型（ISM3）为企业提供了一种有效的工具，用于评估和改进其信息安全管理的水平。通过采用ISM3模型，企业可以提高其信息安全管理的水平，从而更好地保护其信息资源，降低潜在威胁的风险。同时，安全职能和安全团队成员的合理配置和管理也是确保企业信息安全的重要因素。

三，典型企业网络分区

企业网络通常划分为不同的安全区域，以控制区域之间的访问权限。划分安全区可以防御外部和内部攻击。

DMZ（非军事区）：

是一个网络架构中的安全缓冲区，用于放置对外服务的服务器，防止外部网络直接访问内部网络。它的目的是把敏感的内部网络和其他提供访问服务的网络分开，阻止内网和外网直接通信，以保证内网安全。DMZ区的服务器可以同时与内网和外网通信，但内外网不能直接互相访问，DMZ不能访问内网，且通常设置网络地址转换以隐藏真实IP。配置DMZ时，需定义访问策略，包括内网对外网、内网对DMZ、外网对DMZ的访问控制。

蜜罐：

蜜罐（Honeypot）是一种网络安全技术，它在网络中放置一些虚假的系统或应用程序，用于吸引攻击者进行攻击。这样，企业可以获取攻击者的攻击信息和行为方式，从而帮助企业发现和防止安全威胁。蜜罐的主要作用包括提供安全情报、诱骗攻击者、监测网络安全和提高安全防御能力。蜜罐可以模仿公司的客户计费系统，吸引想要窃取信用卡号码的犯罪分子。一旦黑客进入蜜罐系统，就可以对他们进行追踪，并对他们的行为进行评估，以获取如何使真实网络更安全的线索。蜜罐通过刻意构建安全漏洞来吸引攻击者，可以用于识别不同类型的威胁，并帮助企业了解其现有的威胁和发现新出现的威胁。

代理：

代理是一种网络技术，它充当用户与互联网之间的中介，帮助用户访问网络资源。代理可以通过代理服务器转发用户的请求，从而实现间接访问目标网站的目的。代理技术在实际应用中有着多种形式，如HTTP代理、SOCKS代理、VPN等。代理的应用场景非常广泛，对于企业而言，代理可以用于数据采集、市场调研等，帮助企业

获取更多的信息资源。对于个人用户来说，代理则更多地用于访问被屏蔽的网站、保护个人隐私等。

VPN：

VPN的英文全称是“Virtual Private Network”，即“虚拟专用网络”。可以把它理解成虚拟的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。

虚拟专用网络功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关闭并通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。VPN具有成本低，易于使用的特点。

核心网络：

核心网络（Core Network）是指一种在主要连接节点之间承载快速通信流量的通信传输网络。它通常具有网格拓扑结构，可以为在网络上的设备提供任意两个节点之间的连接。核心网络在大型企业和服务供应商中广泛应用，用于提供不同子网间的信息交换路径。

内部网络：

包括有线、无线和VPN接入方式，提供全面的网络覆盖和接入服务。

安管区：

蓝队基础安管区是指在网络安全攻防演习中，蓝队（防守方）为了保护网络和信息系统安全所设置的管理和控制区域。这个区域通常包括一系列安全措施和策略，以确保网络和信息系统的安全性和稳定性。

四，模糊的边界

云计算和SaaS服务的普及对传统网络结构的影响

随着云计算和SaaS（软件即服务）服务的普及，传统的网络结构正在经历显著的变化。企业越来越多地选择在云中部署基础设施或使用SaaS服务，而不是依赖传统的本地数据中心。这种转变带来了许多优势，如灵活性、可扩展性和成本效益，但也对企业的网络架构和安全管理提出了新的要求。

用户登录和身份验证

在云计算和SaaS服务的环境中，用户通常需要从企业的工作站登录到云端或SaaS服务。为了简化这一过程并提高安全性，企业需要提供身份凭证同步机制，甚至是SSO（单点登录）解决方案。SSO解决方案可以让用户只需一次登录，就能访问多个不同的应用和服务，从而提高了用户体验和安全性。

云服务与本地硬件的集成

云服务可能涉及在本地运行的硬件，例如Azure AD Connect系统。Azure AD Connect是一种用于将本地Active Directory与Azure Active Directory同步的工具，使得用户的身份信息可以在本地和云端之间保持一致。这种集成有助于简化身份管理，并提高用户访问云服务的便捷性。

数据管理和集成

在云计算环境中，数据管理变得更加复杂，因为数据可能通过内部和外部服务进行管理。例如，Oracle数据集成器可以用于在不同的数据源之间进行数据同步和集成。这种工具可以帮助企业有效地管理和利用其数据资产，无论数据是存储在本地还是云端。

工作负载的共享和优化

工作负载可以通过各种工具和服务在混合环境中共享，以实现资源的灵活配置和优化利用。例如，Oracle服务总线可以用于在不同的应用和服务之间进行消息传递和数据交换，而戴尔云平台则可以提供一个统一的平台，用于管理和优化混合云环境中的工作负载。这种共享和优化有助于提高资源利用率，降低成本，并提高业务的敏捷性和响应速度。

五，外部攻击面

收集开源情报

在网络安全管理中，收集开源情报是一项重要的任务。通过收集和分析开源情报，安全团队可以及时了解最新的安全威胁和漏洞信息，以便采取相应的防护措施。开源情报的来源可以包括各种公开的数据库、论坛、博客、社交媒体等。

绘制网络拓扑图

在收集开源情报之后，安全团队需要对网络进行扫描和探测，以绘制出网络的拓扑图。这可以通过使用nmap等工具来实现，例如nmap -Sn /24可以用于发现网络中的活跃主机。通过绘制网络拓扑图，安全团队可以清晰地了解网络的结构和各个节点之间的关系，从而更好地管理和保护网络。

关闭无用节点和减少攻击面

在绘制网络拓扑图之后，安全团队需要对网络中的所有节点进行评估，以确定哪些节点是必需的，哪些节点是可以关闭的。通过关闭无用的节点，可以减少网络的攻击面，降低安全风险。此外，对于那些开启了SSH服务的未加固设备，安全团队需要及时进行加固和修复，以防止潜在的安全威胁。

服务探测和版本识别

在关闭无用节点之后，安全团队需要对网络中的所有主机进行服务探测和版本识别。这可以通过使用nmap等工具来实现，例如nmap -PS -sV ip-address可以用于发现目标主机上开放的服务和版本信息。通过服务探测和版本识别，安全团队可以了解网络中每个主机的服务和版本情况，从而更好地管理和保护网络。

漏洞扫描和修复

在服务探测和版本识别之后，安全团队需要对网络中的所有主机进行漏洞扫描。这可以通过使用漏扫软件（如Nessus等）来实现，以验证漏洞的存在性。对于发现的漏洞，安全团队需要及时进行修复，以防止潜在的安全威胁。

漏洞利用脚本的搜索和应对

在漏洞扫描和修复之后，安全团队还需要使用searchsploit等工具来搜索相关的漏洞利用脚本。例如，searchsploit 可以用于查找针对特定服务和版本的漏洞利用脚本。通过搜索和分析漏洞利用脚本，安全团队可以及时了解和应对潜在的威胁和漏洞，从而更好地保护网络的安全。

六，身份管理

身份管理是确保企业信息安全的关键环节，它涉及到对系统中所有用户、设备和服务身份的识别、验证和管理。以下是一些关于身份管理的关键点和工具：

识别Windows典型应用

在Windows环境中，常见的应用和服务包括Microsoft Exchange（邮件服务器）、SharePoint（文档协作平台）和Active Directory（目录服务）。要识别这些应用和服务，可以使用网络扫描工具，如sudo nmap -PS -sV somesystem.com ，来探测目标系统上开放的服务和端口。

识别Linux典型应用

在Linux环境中，OpenSSH（安全壳协议）用于远程登录和管理，Samba则用于文件和打印共享。同样，可以使用网络扫描工具来识别这些服务。

识别WEB服务

企业应用或边界设备上的WEB服务也是身份管理的重要部分。可以使用whatweb http://someweb.org 等工具来识别WEB服务的类型、版本和配置信息。

识别客户端设备

在内网环境中，客户端设备的身份管理同样重要。由于管理员的疏忽或配置不当，终端设备可能会暴露在网络中。因此，需要定期扫描和识别内网中的客户端设备，以确保它们符合企业的安全策略。

身份和访问管理

身份以及特权和访问权管理是企业安全的核心。基本工作站和服务器通常维护自己的身份存储，包括用户账号和服务账号。为了确保系统的安全性，普通用户不能执行系统级配置管理命令，而需要使用sudo权限或以管理员身份运行。

总结

总的来说，身份管理是企业信息安全的关键环节，涉及到对系统中所有用户、设备和服务身份的识别、验证和管理。通过使用网络扫描工具、WEB服务识别工具和客户端设备扫描工具，企业可以有效地识别和管理各种身份，从而提高系统的安全性和可靠性。同时，身份和访问管理也是企业安全的核心，需要确保只有授权用户才能执行系统级配置管理命令。

七，目录服务

目录服务是一种用于存储和组织数据的系统，类似于数据库，但它更适合于存储和检索大量的层次结构数据。目录服务通常用于存储组织结构信息、用户信息、设备信息和服务信息等。以下是一些关于目录服务的关键点和工具：

LDAP（轻量级目录访问协议）

LDAP（Lightweight Directory Access Protocol）是一种用于访问和维护分布式目录服务的开放标准协议。LDAP最初是从X.500标准中派生出来的，但相比于X.500，LDAP更加简化和灵活。LDAP协议定义了客户端和服务器之间进行通信的规范，提供了一种在网络上访问和管理分布式目录数据的方式。

AD（Active Directory）

AD（Active Directory）是微软公司开发的一种目录服务，广泛应用于企业网络中。AD提供了集中管理和组织结构信息的功能，包括用户管理、组管理、设备管理和资源管理等。AD还支持组策略的应用和更新，以便对网络中的计算机和用户进行统一管理和配置。

OpenLDAP

OpenLDAP是一个开源的LDAP实现，广泛应用于各种操作系统和应用程序中。OpenLDAP提供了丰富的功能和灵活的配置选项，可以满足各种不同的目录服务需求。OpenLDAP还支持多种认证方式和加密协议，以确保数据的安全性和完整性。

扩展文本内容

除了上述的基本功能和工具之外，目录服务还可以与其他安全技术和协议相结合，以提供更全面和强大的安全解决方案。例如，可以将LDAP与SSL/TLS加密协议相结合，以确保数据在传输过程中的安全性和保密性。此外，还可以将LDAP与其他认证方式（如Kerberos、OAuth等）相结合，以提供更灵活和多样化的认证选项。

八，企业数据存储

随着数据分析的兴起和监管要求的加强，企业需要集中存储和管理大量数据。常见的存储方案包括SAN（存储区域网络）和NAS（网络附加存储）。SAN由高速网络连接多个存储设备组成，提供高性能的数据存储和访问能力；而NAS则是单个设备拥有大量存储，通过本地网络供服务器和工作站访问。

此外，企业还可以使用串行局域网（SoL）协议，使串行数据基于HTTPS传输，以提高数据传输的安全性和可靠性。

企业虚拟化平台

虚拟化平台是企业数据存储和管理的重要工具之一。常见的虚拟化平台包括VMware的vSphere和vCenter、Proxmox等。这些平台可以实现资源的动态分配和优化利用，提高系统的灵活性和可扩展性。

数据湖

数据湖是一个保存大量不同形式数据的大型存储库，结合数据分析可以为企业带来额外价值。Hadoop是企业中常见的数据湖解决方案之一，而另一种本地解决方案是DataBricks。此外，还有基于云的大数据解决方案，如Cloudera、Google BigQuery、Oracle BigData、Amazon EMR、Azure Data Lake Storage和Azure HDInsight（基于云的Hadoop）等。

围绕数据湖有一个完整的技术生态，提供数据摄取管道和数据分析服务。然而，数据湖也面临着安全风险，如Hadoop的YARN服务配置错误可能导致恶意HTTP请求攻击并获得系统命令行shell。因此，需要加强对数据湖的安全管理和监控。

企业数据库

企业数据库是存储和管理业务数据的重要工具。常见的SQL数据库包括Oracle SQL、Microsoft SQL Server和MySQL等；而嵌入式SQL数据库则包括MariaDB、PostgreSQL和SQLite等。此外，还有非SQL数据库如MongoDB、Redis、Azure CosmosDB和AWS DynamoDB等，它们提供了不同的数据存储和查询方式以满足企业的多样化需求。

传统存储形式

传统存储形式中，共享驱动器是一种常见的资源共享方式，它允许用户通过网络协议（如SMB/CIFS）访问远程服务器上的文件和文件夹。使用smbclient命令行工具，可以列出远程服务器上的共享资源，以及从共享资源中下载文件。例如，使用smbclient -L server -U user命令可以列出指定服务器上的共享资源，而smbclient \\someserver\test -U user则可以连接到名为test的共享资源，并使用get命令下载文件。

在Windows系统中，还存在一些默认的共享资源，如C（所有驱动器的默认共享）、ADMIN（管理共享）和IPC$（管道，用于与其他计算机互操作的特殊连接器）。这些默认共享通常用于系统管理和维护任务。

九，SOC管理流程

SOC（Security Operations Center，安全运营中心）是企业信息安全计划的重要组成部分，它负责监控、分析和响应网络中的安全事件。为了将SOC纳入企业的整体信息安全管理体系，需要了解SOC如何适应ISMS（Information Security Management System，信息安全管理体系）。

ISO27001标准和NIST网络安全框架

ISO27001标准和NIST网络安全框架是指导企业建立运营安全程序的两个重要标准。ISO27001标准提供了一种基于控制方法的审计和认证框架，而NIST网络安全框架则更注重预防和应对网络攻击，包括识别、保护、检测、响应和恢复五个阶段。然而，这些标准并没有具体提出建立SOC的要求，因此每个企业安全运营的组织方法都不尽相同。

信息安全生命周期

信息安全生命周期通常包括四个阶段：安全策略、能力设计、实施和运营。戴明环（PDCA）是信息安全生命周期的早期表现，它包括计划、做、检查和行动四个步骤。而SABSA框架则对信息安全生命周期进行了改进，将其划分为战略规划、设计、实施和管理测量四个阶段。

SOC的日常操作活动

从渗透测试的角度来看，掌握SOC的日常操作活动是为了避免被检测出来；而从防御者的角度来看，掌握SOC完整的生命周期视图可以确保其有效性。SOC的目标是通过监控和事件响应为基础设施和操作提供安全保障。

SOC的层级划分

SOC通常分为不同的层级，每个层级负责不同的任务。例如：

L1：提供监视告警、分类和解决小问题。
L2：提供对日常事件的分析、遏制和解决。
L3：负责损失控制、深入调查和取证分析等IR（Incident Response，事件响应）事件。
L4：安全管理，负责日常、非事件相关的程序，如开设账户、访问授权审查、定期安全报告和其他主动安全程序。

通过这种层级划分，SOC能够有效地分配资源和责任，确保各类安全事件得到及时和适当的处理。

十，网络杀伤链

网络杀伤链（Cyber Kill Chain）模型是由Lockheed Martin公司在2011年提出的，它旨在描述网络攻击的七个阶段，以及攻击者如何逐步实施攻击直到实现目标。这个模型强调了网络攻击的系统化过程，提供了一种框架来帮助网络防御者识别、预防和应对各个阶段的攻击。下面是对网络杀伤链每个阶段的详细分析与扩展：

1. 侦察（Reconnaissance）

侦察阶段是攻击者获取目标信息的开始，也是整个攻击链中至关重要的一环。攻击者通过各种手段（如开放网络资源、社交工程、公共数据库、社交媒体等）收集关于目标的信息，目的是找到潜在的攻击路径、漏洞和目标弱点。

主动侦察： 攻击者主动扫描目标网络，寻找开放的端口、服务、操作系统版本以及可能存在的漏洞。
被动侦察： 攻击者从公开的资料中收集信息，避免被目标系统察觉。例如，分析公开的DNS记录、WHOIS信息、企业网站内容等。
目的： 目标是尽可能了解目标的系统架构、使用的软件、员工信息、业务流程等，从而找到攻击入口点。

2. 武器化（Weaponization）

武器化阶段是攻击者根据侦察阶段获得的信息，将恶意软件或工具与目标系统的漏洞结合，制作成专门针对目标的攻击工具。攻击者通过构建特定的恶意载荷，制作出可以针对目标漏洞发动攻击的“武器”。

恶意软件定制： 根据目标的操作系统、服务或应用程序的具体版本，攻击者设计特定的恶意代码。例如，利用零日漏洞开发特定的利用工具。
载荷与恶意代码： 这些恶意载荷可能是病毒、蠕虫、间谍软件、木马或勒索软件等形式，目标是通过漏洞进入目标系统并执行恶意操作。
目的： 通过创建可以在目标环境中成功执行的攻击工具，攻击者为后续的攻击阶段做好准备。

3. 投送（Delivery）

投送阶段是将恶意软件或攻击工具从攻击者传输到目标系统的过程。攻击者利用各种方式将恶意代码送入目标网络或系统中。

电子邮件附件： 恶意电子邮件附件是最常见的投送方式之一，附件可能是一个带有恶意宏的Word文件、Excel表格或PDF文件。
恶意链接： 通过社交媒体、钓鱼邮件或虚假网站诱使用户点击恶意链接，链接中可能包含指向恶意软件的下载地址。
USB设备： 攻击者通过将感染恶意软件的USB驱动器插入目标系统来进行投送，尤其在内网环境中常见。
目的： 通过不同的投送方式，攻击者确保恶意代码能够顺利进入目标环境，并为下一步的攻击做好准备。

4. 利用（Exploitation）

利用阶段是指攻击者利用目标系统中的漏洞，触发恶意软件执行，进而获得系统的控制权限。恶意代码的执行通常需要目标系统中存在可被利用的漏洞或配置错误。

漏洞利用： 例如，操作系统、应用程序或网络设备的安全漏洞可以被攻击者用来执行恶意代码，绕过安全防护措施。
提权： 一旦攻击者通过漏洞获得了最低权限的访问权限，他们可能会利用其他漏洞来提升权限，获得更高级别的控制权限。
目的： 利用系统漏洞执行恶意代码，获取对目标系统的初步访问，并为后续的攻击阶段铺路。

5. 安装（Installation）

在利用阶段成功执行恶意代码后，攻击者进入安装阶段，目标是将持久性恶意组件（如后门、木马、远程控制工具等）安装到受害系统中，以确保可以长期访问和控制该系统。

恶意软件安装： 攻击者可能会在目标系统中安装恶意软件，使得一旦系统重启或修复某些漏洞，恶意软件依然能够自我重启或继续运行。
持久性： 通过修改启动项、系统服务、注册表等方式，攻击者确保恶意软件不会因为目标的反应而失效。
目的： 安装恶意软件以获得长期控制，并保持对目标系统的持续访问。

6. 指挥与控制（Command and Control, C2）

指挥与控制阶段是指攻击者通过网络与安装在目标系统上的恶意软件进行通信，远程控制目标系统，执行命令或获取信息。C2通常通过加密通道、HTTP/HTTPS协议、DNS隧道等方式与目标系统保持联系。

通信隧道： 攻击者与目标建立一个双向的通信渠道，可能使用加密的通道以避免被防火墙或入侵检测系统发现。
远程操控： 攻击者能够向目标系统发送命令，收集敏感信息或进一步在系统中部署其他恶意工具。
目的： 与目标系统建立稳定的通信连接，便于远程执行命令、收集数据或进一步操控。

7. 行动（Action）

这是攻击链的最后阶段，也是攻击者实现其攻击目的的阶段。攻击者可以根据自身的目的，在目标系统上执行各种恶意活动，如窃取数据、破坏系统、进行勒索或发动拒绝服务攻击。

数据窃取： 攻击者可能窃取敏感数据，如个人信息、财务数据、公司机密等。
篡改数据： 攻击者修改目标系统中的重要数据，以达到破坏、操控或欺诈的目的。
服务破坏： 攻击者可能使用拒绝服务攻击（DDoS）使目标的在线服务中断。
勒索： 攻击者可能加密目标系统中的文件，要求支付赎金才能恢复访问。
目的： 通过已建立的指挥与控制渠道，执行攻击者的最终目标，达到攻击的核心目的。

网络杀伤链的防御方法

根据杀伤链模型，网络防御者可以针对不同阶段采取相应的防御措施：

侦察阶段： 可以使用威胁情报和反向侦察工具来识别潜在的侦察活动，及时发现和阻断攻击者的情报收集工作。
武器化阶段： 加强软件和系统的安全性，及时修补漏洞，减少攻击者在这一阶段的成功率。
投送阶段： 加强邮件过滤、入侵检测和防火墙策略，防止恶意软件和链接的传播。
利用阶段： 通过定期漏洞扫描、补丁管理和用户培训，减少攻击者利用漏洞的机会。
安装阶段： 使用反病毒软件、应用白名单和其他防御手段，防止恶意软件的安装。
指挥与控制阶段： 采用流量监控、DNS过滤等技术，检测和阻断恶意的C2通信。
行动阶段： 采用数据加密、访问控制、审计和数据备份等措施，防止攻击者执行其最终恶意操作。

通过对网络杀伤链的理解和分析，组织能够在不同阶段采取防御措施，增加防御的深度和覆盖面，从而减少网络攻击的成功率。

十一，网络安全监控

网络安全监控是一个综合性的流程，涉及从日志收集到事件响应的各个环节，每个环节都对确保网络安全至关重要。以下是对文本的归类、整理与扩展：

1. 日志收集（Log Collection）

日志收集是网络安全监控的基础，涉及从各种设备、系统和服务中获取相关日志数据。有效的日志收集不仅有助于实时监控网络状况，还能为事后的安全事件分析和取证提供支持。

日志来源

网络设备： 防火墙、路由器、交换机等网络设备能够生成大量的流量日志、访问控制日志以及安全事件日志。这些日志帮助安全人员了解网络流量的状况，及时识别异常活动。
服务器与服务：
- Web服务器： 记录用户访问的请求、响应代码、IP地址、浏览器信息等，帮助检测异常请求、恶意访问和潜在的Web攻击（如SQL注入、XSS攻击等）。
- 邮件服务器： 记录所有邮件的传入与发出情况，监控垃圾邮件、病毒邮件和钓鱼邮件等安全威胁。
- 数据库： 记录数据库访问、查询、修改、删除等操作，可以帮助发现非法数据访问、SQL注入等攻击行为。
- 身份认证服务器： 记录用户登录、认证、授权、注销等操作日志，有助于发现恶意账户操作、权限提升和横向移动等行为。
终端设备：
- 工作站与主机： 终端操作系统（如Windows、Linux等）和应用程序产生的系统日志、应用日志以及安全日志，记录了操作系统的操作、用户活动、进程信息等。
- 物联网设备： 随着物联网技术的发展，物联网设备（如智能家居、楼宇管理系统等）也成为日志的生成源，这些设备可能成为网络攻击的潜在目标，尤其是当它们连接到企业网络时。

日志转发

在Windows系统中，事件日志（Event Logs）通常用于收集和转发系统、应用程序和安全日志。可以使用事件查看器配置日志收集与转发功能，或者使用Windows的内建工具（如Windows Event Forwarding）将日志发送到集中的日志服务器。
在Linux系统中，使用syslog协议来收集和转发日志。系统管理员可以配置syslog守护进程，将日志发送到指定的日志收集器或SIEM系统进行集中存储和分析。

日志聚合

日志数据通常分散在不同的系统和设备中。为了实现全面的安全监控，必须将这些日志数据集中并加以聚合。日志收集器通常作为中间层，收集来自不同来源的数据，然后将其上传到SIEM（安全信息与事件管理）系统中进行进一步处理。

2. 日志搜索与分析（Log Search and Analysis）

日志收集只是网络安全监控的第一步，接下来的关键是对日志进行有效的搜索与分析，以便识别潜在的安全威胁、异常活动或违规行为。

日志分析工具

Splunk： Splunk是一个流行的日志管理和分析平台，提供强大的日志收集、存储、搜索和分析功能。通过对日志的索引，Splunk能够在大量数据中迅速查找和分析信息。其强大的可视化工具使得安全分析人员能够直观地理解日志数据中的模式、趋势和异常。
SIEM系统： 安全信息和事件管理（SIEM）系统通过收集、存储、分析日志并关联不同事件，帮助发现潜在的安全威胁。SIEM系统能够通过预设的规则或机器学习模型自动化检测恶意活动，并生成告警。

日志关联与事件检测

日志关联（Log Correlation）是将来自不同源的日志数据结合起来，找出潜在的安全事件。例如，登录失败事件和成功登录事件的关联可能表明有人尝试暴力破解密码。
模式识别： 安全分析人员可以通过模式识别方法（如频繁的登录失败、异常的流量峰值等）识别出可疑活动，进而进一步调查。

威胁分析：

利用历史数据和已知的攻击模式，分析日志中的异常行为。例如，通过识别“僵尸网络”通信模式或恶意IP地址访问，能够有效识别针对网络的攻击。
行为分析： 对比正常行为的基线（如用户行为分析、流量基线等）和日志中的数据，发现偏离常规的异常活动。

3. 监控告警（Monitoring and Alerting）

监控告警是网络安全防御的核心部分，能够帮助安全团队及时发现和响应潜在的安全威胁。监控告警系统能够通过自动化的方式生成告警，提示管理员需要关注的安全事件。

告警来源

SIEM系统： SIEM系统不仅提供日志收集和分析功能，还能够根据预定义规则、行为分析等生成安全告警。例如，系统检测到异常的登录模式、系统漏洞扫描尝试或敏感数据的访问时，都会触发告警。
入侵检测系统（IDS）与入侵防御系统（IPS）： IDS/IPS设备监控网络流量并分析是否存在恶意流量或攻击行为。成功检测到恶意活动时，会发送告警通知。
其他传感器： 包括终端防护软件、网络流量分析工具、文件完整性监控工具（如AIDE）等，这些工具能够实时监控系统状态和文件变化，并产生告警。

告警管理与响应

告警分类： 告警通常根据优先级和严重程度进行分类。高优先级告警（如恶意攻击、数据泄露等）需要立即响应，而低优先级告警（如常规的病毒扫描警报）则可以稍后处理。
误报与漏报： 告警管理系统需要有效地减少误报（假阳性）和漏报（假阴性）。利用机器学习等技术，系统可以自动学习和优化告警规则，提高告警准确性。

4. 事件响应（Incident Response）

事件响应是网络安全防御的最后一道防线，涉及对已识别安全事件进行分析、应对和修复。事件响应流程通常分为多个阶段，包括分析、遏制、根除和恢复。

事件响应流程

事件检测： 当SIEM、IDS、IPS或其他安全工具生成告警时，L1级别的分析师需要对告警进行初步分析，确认是否为真实的安全事件。
事件分类与评估： L2级别的分析师对事件进行更深层次的评估，确认其严重性并采取适当的应对措施。常见的操作包括：
- 隔离受影响的主机或网络。
- 封堵恶意IP地址。
- 监控与分析相关的日志数据。
根源分析： 在确定事件的性质后，L3级别的高级分析师会对事件的根源进行调查。例如，利用数字取证工具，分析被攻击系统的内存、硬盘等存储设备，查找攻击者的攻击方式、入侵路径和目标。
恢复与修复： 一旦事件被遏制并确认威胁已消除，系统可以恢复正常操作。此时，安全团队还需要修复漏洞，进行系统加固，并进行复盘与分析，以防止类似事件再次发生。

数字取证：

数字取证是一种科学的证据收集过程，通常由L3级分析师负责。分析师通过合法的方式获取攻击现场的数据，如磁盘镜像、内存快照等，并保护数据的完整性，以便后续的分析和法律程序。

十二，Cyber Hunting（网络狩猎）

网络狩猎（Cyber Hunting）是信息安全领域中的一种主动防御策略，旨在通过主动搜索和发现网络中的潜在威胁或已渗透的攻击者，来防止更严重的损害发生。网络狩猎的核心思想是，攻击者已经可能渗透到网络中，因此通过不断的监控和分析，及时发现异常活动，制止攻击进一步扩展。

网络狩猎的基本概念和流程

主动搜索：网络狩猎不同于传统的防御机制，它不是被动地等待攻击事件发生，而是主动地寻找攻击的迹象。网络狩猎是基于对大量数据的分析，包括流量、日志、系统行为等，通过寻找异常模式和可疑活动，快速识别入侵者。
攻击者行为识别：网络狩猎的一个重要目标是理解攻击者的行为。为了能够有效识别和应对攻击，狩猎人员需要清楚了解攻击者在网络中可能采取的手段。MITRE ATT&CK框架就是一个重要的工具，它提供了全面的攻击行为模型，帮助分析师理解攻击者常用的战术、技术和程序（TTPs）。
调查和响应：网络狩猎不是一次性检测工作，而是一个持续的、循环的过程。在发现异常活动后，狩猎人员需要对其进行深入调查，确认是否存在真正的安全威胁，并根据调查结果采取响应措施。
还原攻击时间线：通过对日志、流量、文件系统等数据的深入分析，网络狩猎人员可以还原攻击者的活动轨迹，理解攻击的起点、攻击路径和攻击目标。这有助于发现被漏掉的攻击痕迹，甚至可以揭示攻击的更多细节。

网络狩猎的目标和价值

提前发现攻击：通过主动监控和分析，网络狩猎能够在攻击造成严重损失之前发现攻击迹象，提前采取措施进行阻止。这种提前响应能够极大降低攻击带来的潜在危害。
发现未知威胁：一些高级持续性威胁（APT）攻击可能采用非常隐蔽的手段，难以通过传统的防御机制检测到。网络狩猎通过深入的流量分析、行为模式识别和数据关联分析，可以发现这些潜在的“零日”威胁。
增强安全防御能力：通过对网络和终端进行持续的监控和分析，网络狩猎人员可以帮助团队识别网络防御中的漏洞，并通过不断的学习和演练来提升防御能力。尤其是能够优化入侵检测系统（IDS）和防火墙的规则，提高检测精度。
减少响应时间：网络狩猎的一个核心优势是能够大大缩短安全事件的响应时间。通过早期检测，网络狩猎能迅速识别攻击路径和攻击方式，从而迅速采取有效的防御措施。

MITRE ATT&CK框架在网络狩猎中的应用

MITRE ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）框架是网络威胁分析和狩猎的关键工具，它提供了攻击者的战术、技术和工具的详细分类。网络狩猎人员可以利用ATT&CK框架来识别攻击者的行为，映射其战术和技术，帮助寻找攻击的迹象。

ATT&CK框架的主要组成部分包括：

战术（Tactics）：攻击者的目标或目的，例如获取信息、维持访问、破坏数据等。
技术（Techniques）：攻击者实现战术的具体方法或手段，例如利用钓鱼攻击、恶意软件传播等。
子技术（Sub-techniques）：某些技术的更具体实施方式或变体，帮助细化攻击行为。
工具（Tools）：攻击者使用的具体软件或脚本工具，如Cobalt Strike、Mimikatz等。

在网络狩猎过程中，分析师可以利用ATT&CK框架的这些元素，映射网络中的异常行为到具体的战术和技术，从而识别出潜在的攻击。举例来说，如果狩猎人员发现网络中有异常的远程访问行为，并且发现未经授权的账户登录，可能就能联想到MITRE ATT&CK框架中的“账户操控”技术，从而进行进一步调查。

网络狩猎的关键技术与方法

数据收集与分析：网络狩猎的第一步是收集大量的相关数据，包括网络流量、主机日志、系统调用、API请求等。通过对这些数据的深入分析，可以寻找潜在的异常活动。为了提高效率，通常会使用SIEM（Security Information and Event Management）系统、EDR（Endpoint Detection and Response）工具等，帮助分析师快速挖掘可疑模式。
行为分析与基线建立：网络狩猎的一个关键技能是能够识别正常与异常之间的差异。这需要建立网络和系统的基线（baseline），即对网络中正常活动的理解。通过对网络流量、用户行为、应用程序使用情况等的学习，网络狩猎人员能够建立起“正常”状态的模型，从而识别出偏离正常模式的异常行为。
威胁情报的整合与应用：威胁情报（Threat Intelligence）提供了关于当前网络威胁、攻击工具和攻击者行为模式的知识。在网络狩猎中，威胁情报是至关重要的参考资源，分析师可以通过整合外部的威胁情报源，识别出针对特定组织或行业的已知威胁。
自动化与机器学习的辅助：随着技术的发展，自动化和机器学习在网络狩猎中的应用也日益增多。例如，机器学习模型可以帮助分析师识别复杂的攻击模式，自动化工具能够帮助分析师快速对大量数据进行筛查和分析，减少人工干预。

持续演练和改进

网络狩猎并不是一次性的任务，而是一个持续演练和改进的过程。分析人员需要定期更新威胁情报，反复验证检测策略的有效性，并通过实战演练来保持警觉和技术的敏锐性。随着攻击技术的不断演化，网络狩猎的策略和方法也需要不断调整和优化。

十三，安全管理概述

安全管理是一系列确保公司业务安全的日常流程，涵盖多个关键领域，包括但不限于身份管理（IAM）、访问控制、特权管理（PAM）、媒体消毒、人事安全、证书管理和远程访问等。每个领域都有其特定的目标和挑战，共同构成了一个全面的安全框架。

零信任网络架构

零信任网络架构是一种现代安全理念，它假设内部网络可能已经被破坏，因此对外部和内部的访问都采取严格的控制措施。这一概念在2010年谷歌遭受极光行动网络攻击后被提出，并在NIST特别出版物800-207中得到正式确立，现已成为美国政府机构必须强制实施的安全标准。

零信任架构的关键特征

即时访问（JITA）：用户或服务在需要时才被授予访问权限，且权限具有时效性，一旦任务完成或时间过期，权限即被收回。
只需足够的访问权限（LPA/JEA）：用户或服务仅被授予完成特定任务所需的最小权限集，以减少潜在的安全风险。
动态访问策略：访问控制策略根据用户身份、设备状态、位置、时间等多种因素动态调整，以适应不断变化的安全环境。
微观分割：将网络划分为多个小型的、相互隔离的安全区域，以限制攻击者在网络内的横向移动能力。

安全和基础设施要素

在构建零信任网络的同时，还需要关注以下几个关键的安全和基础设施要素：

数据备份/恢复：作为重要的运营技术，数据备份在发生灾难或攻击事件时，是恢复业务连续性和数据完整性的关键安全资产。
变更管理：安全策略需要与系统的变化过程紧密关联，确保在提交变更前已充分评估风险，并制定详细的变更管理计划，包括推出计划、回滚计划、影响评估和依赖关系清单。
管理物理环境：数据中心环境的物理和电子安全同样重要，包括物理访问控制、机房环境监控（如功率、温度、气压等）。

十四，事件响应

事件响应是零信任网络不可或缺的一部分，它涉及到对安全事件的快速识别、调查和响应，以最大限度地减少潜在的影响和损失。事件管理生命周期通常包括以下几个阶段：

准备：了解系统及现有控制措施，通过培训和演练提高组织的应急响应能力。
响应：识别安全事件、进行调查、采取行动以响应事件并恢复业务服务。
后续：事后进一步调查、形成报告、总结经验教训，并据此改进安全流程和策略。

SABSA多层控制策略

SABSA（Sherwood Applied Business Security Architecture）多层控制策略提供了一种全面的安全框架，包括以下几个层次的控制措施：

威慑：通过展示安全措施和政策来阻止潜在的攻击者。
预防：采取措施防止安全事件的发生，如实施访问控制和加密技术。
遏制：在事件发生时，采取措施限制其影响范围，如隔离受影响的系统。
检测：通过监控和审计来及时发现安全事件的发生。
通知恢复：在事件发生后，及时通知相关人员并启动恢复程序，以尽快恢复正常业务运营。

管理事件响应的方法

NIST特别出版物800-61:计算机安全事件处理指南

NIST特别出版物800-61提供了一种标准化的事件响应方法，包括以下几个阶段：

检测和分析：识别潜在的安全事件并进行初步分析。
遏制：采取措施限制事件的影响范围，如隔离受影响的系统。
根除和恢复：识别并消除事件的根本原因，同时恢复受影响的系统和服务。
事件后活动：事后进一步调查、形成报告、总结经验教训，并据此改进安全流程和策略。

PDCA循环

PDCA（Plan-Do-Check-Act）循环也被广泛应用于事件响应生命周期的优化和持续改进中：

计划（Plan）：制定事件响应计划和策略。
执行（Do）：实施事件响应计划。
检查（Check）：监控和评估事件响应的效果。
行动（Act）：根据评估结果进行改进和优化。

十五，应急响应

在构建全面的应急响应体系时，我们需要从多个维度进行准备，包括但不限于风险评估、威胁分析、人员、流程和技术配置，以及持续的控制和成熟度评估。

一、风险评估与威胁分析

风险评估

深入了解组织的技术资产、系统和数据，并明确它们对业务的重要性，从而确定关键保护对象。

威胁分析

通过策略、技术和实践来识别潜在的风险点，并据此制定和实施相应的控制措施。

二、人员、流程和技术

建立团队

组建专业的应急响应团队，明确各成员的角色和责任。

配备工具

为团队提供必要的应急响应工具和设备，如日志分析工具、网络扫描器等。

制定流程剧本

针对不同类型的安全事件，制定详细的应急响应流程和剧本。

演练

定期进行应急响应演练，以提升团队的实战能力和协同效率。

三、控制

响应手册

编制应急响应手册，明确在不同安全事件发生时应执行的标准操作程序。

事前流程规避

通过制定和执行严格的安全政策和流程，尽可能减少安全事件的发生。

事中数据支持

在事件发生时，提供必要的数据支持和分析工具，帮助团队快速定位问题。

事后备份恢复

确保有可靠的数据备份和恢复机制，以便在事件发生后能够迅速恢复业务。

四、成熟度评估

CREST成熟度评估工具

利用CREST提供的成熟度评估工具，对组织的应急响应能力进行持续评估和改进。

流程培训+实践技能培训

结合理论培训和实践技能培训，提升团队的整体应急响应水平。

五、应急响应手册概述

该手册详细规定了在不同安全事件发生时应执行的标准操作程序，涵盖了扫描、托管威胁、入侵、可用性、信息、欺诈、恶意内容、恶意软件检测、技术诚信和盗窃等多个安全事件类别。每个类别下都包含了具体的应急处理流程和操作规范。

六、演练与沟通

演练

通过红蓝对抗等模拟真实攻击场景的方式，锻炼团队的应急响应能力，并验证应急计划的有效性。

沟通

在应急响应过程中，及时、充分、准确的信息沟通至关重要。沟通对象包括内部员工、外部合作伙伴、客户、媒体和政府等。

七、事件检测与响应

事件上报

一旦发现安全事件，立即进行上报。

系统监控与检查日志告警

利用系统监控工具和日志分析技术，及时发现并响应安全事件。

确定事件级别

根据事件的严重程度和影响范围，确定事件的级别。

调查事件

对事件进行深入调查，包括溯源取证等。

采取遏制措施

根据调查结果，采取必要的遏制措施，防止事件进一步扩大。

八、报告与总结

编写应急响应报告

详细记录事件的经过、处理过程和结果，以及后续的调查计划和改进建议。

经验总结与改进建议

对事件处理过程中的经验和教训进行总结，并提出针对性的改进建议。

九、入侵检测与防御

Snort

利用Snort等入侵检测和防御系统，对网络流量进行实时监控和分析，及时发现并阻止网络威胁。

流量分析

通过流量分析技术，发现恶意流量，并采取相应的告警和阻止措施。

IDS与IPS

根据实际需求，选择合适的部署方式（带外监视或串联部署），以实现更高效的入侵检测和防御。

十、安装依赖包与配置Snort

安装DAQ数据采集库

为Snort提供必要的数据采集支持。

安装内存分配器

确保Snort在运行过程中有足够的内存资源。

安装配置Snort3

根据实际需求，安装并配置Snort3，包括自定义规则等。

自定义规则示例

例如，针对发往特定系统或子网中IP地址的任何流量发出警报等。

十六，Snort

Snort是一个用C语言编写（Snort 3.0+版本使用C++编写）的开放源代码软件，符合GPL（GNU General Public License）的要求，由Martin Roesch在1998年开发1。它已发展成为一个具有多平台（Multi - Platform）、实时（Real - Time）流量分析、网络IP数据包（Pocket）记录等特性的强大的网络入侵检测/防御系统（Network Intrusion Detection/Prevention System），即NIDS/NIPS1。

Snort的功能

数据包嗅探：Snort的嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上，它能在网络TCP/IP的5层结构的数据链路层进行抓取网络数据包，抓包时需将网卡设置为混杂模式，根据操作系统的不同采用libpcap或winpcap函数从网络中捕获数据包1。
数据包分析：Snort能够对网络上的数据包进行抓包分析，网络中的数据包有可能是以太网包、令牌环包、TCP/IP包、802.11包等格式，它可以对这些数据包进行解码、过滤、预处理等操作。例如Http预处理器完成对Http请求解码的规格化，Frag2事务处理器完成数据包的组装，Stream4预处理器用来使Snort状态化，端口扫描预处理器能检测端口扫描的能力等1。
数据包检测：规则检测是Snort中最重要的部分，作用是检测数据包中是否包含有入侵行为。Snort通过规则来检测数据包是否存在入侵行为，规则语法涉及到协议的类型、内容、长度、报头等各种要素。例如规则“alert tcp any any - 202.12.1.0/24 80(msg: misclargetcppacket;dsize:3000;)”，当一个流入202.12.1.0这个网段的TCP包长度超过3000B时就发出警报1。
响应处理：Snort能根据所定义的规则进行响应及处理，处理插件完成检查协议各字段，关闭连接，攻击响应等功能，输出插件将处理后的各种情况以日志或警告的方式输出1。

Snort的运行模式

嗅探器模式：此模式下，Snort将在现有的网域内撷取封包，并显示在荧幕上，仅仅是从捕获网络数据包显示在终端上1。
包记录器模式：把捕获的数据包存储到磁盘1。
网络入侵检测系统模式：最复杂的模式，能对数据包进行分析、按规则进行检测、做出响应1。

Snort的部署

部署的灵活性：Snort的部署非常灵活，可以运行在很多操作系统上，如windowxp，windows2003，linux等操作系统。在Linux与Windows操作系统相比较之下，Linux更加健壮、安全和稳定。用户在操作系统平台选择上应考虑其安全性、稳定性，同时还要考虑与其它应用程序的协同工作的要求1。
部署结构：可根据企业网络规模的大小，采用三层结构（传感器层、服务器层、管理员控制台层）分别部署或采用三层结构集成在一台机器上进行部署，也可采用服务器层与控制台集成的两层结构。传感器层收集网络数据包交给服务器层进行处理，管理员控制台层则主要是显示检测分析结果1。

Snort的不足

功能完善性：Snort是轻量型的，功能还不够完善，比如与其它产品产生联动等方面还有待改进1。
安装复杂性：由各功能插件协同工作，安装复杂，各软件插件有时会因版本等问题影响程序运行1。
误报情况：对所有流量的数据根据规则进行匹配，有时会产生很多合法程序的误报1。

一，文件管理概述（Snort规则配置）

在网络安全监控中，Snort等工具的规则配置是关键。规则定义了如何检测和处理网络流量，并触发相应的告警。这些规则包含多个字段，每个字段都扮演着特定的角色，共同确保网络活动的准确监控。

二、Snort规则配置字段详细描述

alert

含义：指示这是一个告警规则。当流量匹配规则时，Snort将生成告警。示例：alert icmp any any -> $HOME_NET any (msg:"Test Ping Event"; ...)23

icmp/tcp/udp

含义：指定要监控的协议类型（如ICMP、TCP、UDP）。示例：alert icmp ... 或 alert tcp ...

any

含义：

作为源/目标IP或CIDR：表示任意IP地址。
作为源/目标端口：表示任意端口。示例：any any（任意源IP和端口）

< >（方向运算符）

含义：指示流量的方向。示例：-> 表示从源到目标的流量。

$HOME_NET

含义：在Snort配置中定义的本地网络。示例：$HOME_NET 替代具体的IP范围。

msg

含义：告警的描述性名称。示例：msg:"Test Ping Event"

sid

含义：规则的唯一签名ID。示例：sid:1000001

rev

含义：规则的版本号，用于跟踪更新。示例：rev:1

classtype

含义：告警的分类类型。示例：classtype:icmp-event

content

含义：在流量中查找的特定内容。示例：content:"Login incorrect"

三、本地账号与Snort条件子句概述

Snort可通过设置条件子句来监控本地账号相关活动，如失败的登录尝试。当满足条件时，触发告警或执行其他操作。

四、具体Snort条件子句示例及解释

示例：检查失败的telnet登录尝试

规则语句：

alert tcp $HOME_NET 23 -> any any (msg:"Failed login attempt"; content:"Login incorrect"; sid:1000002; rev:1; classtype:attempted-user;)

详细解释

协议及源目标设定：
- alert tcp：针对TCP协议的告警。
- $HOME_NET 23：源网络为本地网络，端口为23（Telnet）。
- -> any any：流量流向任意目标IP和端口。
告警信息及分类相关：
- msg:"Failed login attempt"：告警名称为“Failed login attempt”。
- content:"Login incorrect"：流量中需包含“Login incorrect”字符串。
- sid:1000002：规则的唯一签名ID为1000002。
- rev:1：规则版本号为1。
- classtype:attempted-user：告警分类为“attempted-user”。

五、外部规则集