Analysis 分析(告警调查)
对告警做调查和验证 —— 这条告警到底是真的攻击,还是误报?
检测产生告警,分析决定这条告警值不值得拉响警报。这是 SOC 分析师每天的核心工作。
分析时在问什么
用到的方法
分析的产出决定是否升级为 事件,进入正式响应流程。
AU Plus
概念 (345)
- Absolute File Path 绝对路径
- Access Controls 访问控制
- Active Packet Sniffing 主动数据包嗅探
- Advanced Persistent Threat (APT) 高级持续性威胁
- Adversarial AI 对抗性人工智能
- Adware 广告软件
- Algorithm 算法
- Analysis 分析(告警调查)
- Angler Phishing 社交媒体客服钓鱼
- Anomaly-based Analysis 异常检测
- Antivirus Software 杀毒软件
- API Token API 令牌
- Argument 参数
- ARP 地址解析协议
- Array 数组
- Asset Classification 资产分级
- Asset Inventory 资产清单
- Asset Management 资产管理
- Asset 资产
- Asymmetric Encryption 非对称加密
- Attack Surface 攻击面
- Attack Tree 攻击树
- Attack Vectors 攻击向量
- Authentication 身份认证
- Authorization 授权
- Availability 可用性
- Baiting 诱饵攻击
- Bandwidth 带宽
- Baseline Configuration 基线配置
- Basic Auth 基本认证
- BEC 商业邮件诈骗
- Biometrics 生物特征
- BIOS 基本输入输出系统
- Bit 比特
- Bootloader 引导加载器
- Botnet 僵尸网络
- Broken Chain of Custody 断裂的保管链
- Brute Force Attack 暴力破解
- Bug Bounty 漏洞赏金
- Business Continuity 业务连续性
- C2 命令与控制
- CEF 通用事件格式
- Chain of Custody 证据保管链
- Chronicle Google 云原生 SIEM
- CIA Triad 信息安全铁三角
- Cipher 密码算法
- CISSP 信息安全专业人士认证
- CLI 命令行界面
- Cloud Computing 云计算
- Cloud Network 云网络
- Cloud Security 云安全
- Cloud-based Firewall 云防火墙
- CNA CVE 编号机构
- Command Option 命令选项
- Command 命令
- Compliance 合规
- Computer Virus 计算机病毒
- Confidentiality 保密性
- Configuration File 配置文件
- Containment 遏制
- Controlled Zone 受控区
- CPU 中央处理器
- Crowdsourcing 众包
- Cryptographic Attack 密码学攻击
- Cryptographic Key 加密密钥
- Cryptography 密码学
- Cryptojacking 加密货币劫持
- CSIRT 计算机安全事件响应团队
- CVE Common Vulnerabilities and Exposures
- CVSS Common Vulnerability Scoring System
- Cybersecurity 网络安全
- Data at Rest 静态数据
- Data Custodian 数据托管人
- Data Exfiltration 数据外泄
- Data in Transit 传输中数据
- Data in Use 使用中数据
- Data Owner 数据所有人
- Data Packet 数据包
- Data Point 数据点
- Database 数据库
- DDoS Attack 分布式拒绝服务攻击
- Defense in Depth 纵深防御
- Detection 检测
- Digital Certificate 数字证书
- Digital Forensics 数字取证
- Directory 目录
- DNS 域名系统
- Documentation 文档记录
- DoS Attack 拒绝服务攻击
- Dropper 投放器
- EDR 端点检测与响应
- Encapsulation 封装
- Encryption 加密
- Endpoint 端点
- Eradication 清除
- Event 事件(可观测发生)
- Exploit 漏洞利用
- Exposure 暴露
- External Threat 外部威胁
- False Negative 假阴性(漏报)
- False Positive 假阳性(误报)
- Fileless Malware 无文件恶意软件
- Final Report 最终报告
- Firewall 防火墙
- Forward Proxy Server 正向代理
- GUI 图形用户界面
- Hacker 黑客
- Hacktivist 黑客主义者
- Hard Drive 硬盘
- Hardware 硬件
- Hash Collision 哈希碰撞
- Hash Function 哈希函数
- Hash Table 哈希表
- HIDS 基于主机的入侵检测系统
- HIPAA 美国医疗信息保护法
- Honeypot 蜜罐
- HTTP 超文本传输协议
- HTTPS 安全超文本传输协议
- Hub 集线器
- IaaS Infrastructure as a Service 基础设施即服务
- IAM 身份与访问管理
- ICMP Flood ICMP 洪水攻击
- ICMP 互联网控制消息协议
- IDS 入侵检测系统
- Incident Handler's Journal 事件处理日志
- Incident Response 事件响应
- Incident 安全事件
- Information Privacy 信息隐私
- InfoSec 信息安全
- Injection Attack 注入攻击
- Input Validation 输入验证
- Integrity 完整性
- Internal Hardware 内部硬件
- Internal Threat 内部威胁
- IoA 攻击指标
- IoC 失陷指标
- IP Address IP 地址
- IP Spoofing IP 地址欺骗
- IP 互联网协议
- IPS 入侵防御系统
- Kernel 内核
- Key-Value Pair 键值对
- LAN 局域网
- Legacy Operating System 遗留操作系统
- Lessons Learned Meeting 经验教训会议
- Linux
- Linux Bash 默认 Shell
- Linux Distros 常见发行版
- Linux FHS 文件系统层次标准
- Linux nano 命令行文本编辑器
- Linux Permissions 文件权限
- Linux Root User 超级用户
- Loader 加载器恶意软件
- Log Analysis 日志分析
- Log Management 日志管理
- Log 日志
- Logging 日志记录
- MAC Address MAC 地址
- Malware 恶意软件
- Metrics 指标
- MFA 多因素认证
- MITRE
- Modem 调制解调器
- Network Data 网络数据
- Network Log Analysis 网络日志分析
- Network Protocol Analyzer 网络协议分析器
- Network Protocols 网络协议
- Network Security 网络安全(基础设施层)
- Network Segmentation 网络分段
- Network Traffic 网络流量
- Network 网络
- NIC 网络接口卡
- NIDS 基于网络的入侵检测系统
- NIST CSF 网络安全框架
- NIST RMF 风险管理框架
- NIST SP 800-53 控制项目录
- NIST 事件响应生命周期
- Non-Repudiation 不可否认性
- OAuth 开放授权协议
- Object 对象
- On-path Attack 路中攻击(中间人攻击)
- Operating System 操作系统
- Order of Volatility 易失性顺序
- OSI Model OSI 模型
- OSINT 开源情报
- OWASP 开放网络应用安全项目
- PaaS Platform as a Service 平台即服务
- Package Manager 包管理器
- Package 软件包
- Packet Capture (p-cap) 抓包文件
- Packet Sniffing 数据包嗅探
- Passive Packet Sniffing 被动数据包嗅探
- Password Attack 密码攻击
- PASTA 攻击模拟与威胁分析流程
- Patch Update 补丁更新
- PCI DSS 支付卡行业数据安全标准
- Penetration Testing 渗透测试
- Peripheral Devices 外设
- PHI 受保护健康信息
- Phishing Kit 钓鱼套件
- Phishing 网络钓鱼
- Physical Attack 物理攻击
- Physical Social Engineering 物理社会工程
- PII 个人可识别信息
- Ping of Death 死亡之 ping
- PKI 公钥基础设施
- Playbook 操作手册
- Policy 安全策略
- Port Filtering 端口过滤
- Port 端口
- Post-Incident Activity 事后活动
- Prepared Statement 预编译语句
- Principle of Least Privilege 最小特权原则
- Privacy Protection 隐私保护
- Procedures 操作步骤
- Programming 编程
- Protecting and Preserving Evidence 保护和保存证据
- Proxy Server 代理服务器
- PUA 潜在不需要的应用
- Quid Pro Quo 等价交换骗局
- Rainbow Table 彩虹表
- RAM 随机存取内存
- Ransomware 勒索软件
- Recovery 恢复
- Regulations 法规
- Relative File Path 相对路径
- Replay Attack 重放攻击
- Resilience 韧性
- Reverse Proxy Server 反向代理
- Risk Mitigation 风险缓解
- Risk 风险
- Root Directory 根目录
- Rootkit 根套件
- Router 路由器
- SaaS Software as a Service 软件即服务
- Salting 加盐
- Scareware 恐吓软件
- Security Architecture 安全架构
- Security Assessment 安全评估
- Security Audit 安全审计
- Security Controls 安全控制
- Security Ethics 安全伦理
- Security Frameworks 安全框架
- Security Governance 安全治理
- Security Hardening 安全加固
- Security Posture 安全态势
- Security Zone 安全区
- Separation of Duties 职责分离
- Session Cookie 会话 Cookie
- Session Hijacking 会话劫持
- Session ID 会话 ID
- Session 会话
- SFTP 安全文件传输协议
- Shared Responsibility 共担责任
- Shell 命令行解释器
- SIEM 安全信息和事件管理
- Signature Analysis 签名分析
- Signature 特征签名
- Smishing 短信钓鱼
- Smurf Attack 蓝精灵攻击
- SNMP 简单网络管理协议
- SOAR 安全编排自动化与响应
- SOC 安全运营中心
- Social Engineering 社会工程
- Social Media Phishing 社交媒体钓鱼
- Spear Phishing 鱼叉式钓鱼
- Speed 网速
- SPII 敏感个人可识别信息
- SPL Splunk 查询语言
- Splunk Cloud 云托管 SIEM
- Splunk Enterprise 自建 SIEM
- Spyware 间谍软件
- SQL Date and Time Data 日期时间数据
- SQL Exclusive Operator 排除运算符
- SQL Filtering 过滤
- SQL Foreign Key 外键
- SQL Inclusive Operator 包含运算符
- SQL Injection SQL 注入
- SQL Numeric Data 数值数据
- SQL Operator 运算符
- SQL Primary Key 主键
- SQL Query 查询
- SQL Relational Database 关系型数据库
- SQL String Data 字符串数据
- SQL Syntax SQL 语法
- SQL Wildcard 通配符
- SQL 结构化查询语言
- SSH 安全外壳协议
- SSO 单点登录
- Standard Error 标准错误
- Standard Input 标准输入
- Standard Output 标准输出
- Standards 标准
- Stateful Firewall 有状态防火墙
- Stateless Firewall 无状态防火墙
- Subnetting 子网划分
- sudo 临时提权命令
- Supply-chain Attack 供应链攻击
- Suricata 开源入侵检测/防御系统
- Switch 交换机
- Symmetric Encryption 对称加密
- SYN Flood Attack SYN 洪水攻击
- Tailgating 尾随
- TCP 传输控制协议
- TCP/IP Model TCP/IP 模型
- tcpdump 命令行抓包工具
- Technical Skills 技术技能
- Telemetry 遥测
- Threat Actor 威胁主体
- Threat Hunting 威胁狩猎
- Threat Intelligence 威胁情报
- Threat Modeling 威胁建模
- Threat 威胁
- Transferable Skills 可迁移技能
- Triage 分流
- Trojan Horse 木马
- True Negative 真阴性
- True Positive 真阳性
- UDP 用户数据报协议
- UEFI 统一可扩展固件接口
- Uncontrolled Zone 不可控区
- USB Baiting U 盘诱饵攻击
- User Interface 用户界面
- User Provisioning 用户配置
- VirusTotal 在线威胁分析服务
- Vishing 语音钓鱼
- VM 虚拟机
- VPN 虚拟专用网络
- Vulnerability Assessment 漏洞评估
- Vulnerability Management 漏洞管理
- Vulnerability Scanner 漏洞扫描器
- Vulnerability 漏洞
- WAN 广域网
- Watering Hole Attack 水坑攻击
- Web-based Exploits Web 应用利用
- Whaling 捕鲸攻击
- Wi-Fi 无线局域网
- Wildcard 通配符
- Wireshark 图形化抓包分析器
- World-writable File 全局可写文件
- Worm 蠕虫
- WPA Wi-Fi 安全协议
- XSS Cross-Site Scripting 跨站脚本
- YARA-L 日志检测规则语言
- Zero-day 零日漏洞