Please enable JavaScript.
Coggle requires JavaScript to display documents.
EDR hunting - Coggle Diagram
EDR hunting
交付成果
2.基于回传日志hunting行为规则-区别于其他安全产品的规则?
3.检测机制增加的建议?
1.日志采集类别增强建议
4.基于现有数据的实际hunting成果,区别于已检出的日志?
5.基于代码逻辑的检测/hunting策略
添加具体的告警规则,以及新的hunting场景
现有检测机制
现有安全产品 覆盖检测能力/规则
可用hunting落地的检测机制(如服务端行为规则,终端代码,yara类病毒规则? 流量规则,waf规则) 轻量playbook
日志数据采集类别(自己实现,还是基于安全产品)青藤+自研+告警日志+零信任日志
漏洞利用场景
命令执行
上传webshell
上传ELF木马
告警白名单优化运营
木马后门
系统完整性
进程隐藏
内网攻击场景
现有告警优化(主要是异常命令执行)
运营,加白?如curl异常文件,调用沙箱检测后,返回结果
发现内网问题
用户目标
完善检测机制?包括采集能力以及检测机制?
针对此前hw攻击检测规则补充?
提升整体检测能力
运营流程改善?提升原有数据的使用能力,使用户能够进行hunting运营分析?
告警自动化研判
如curl异常文件,调用沙箱检测后,返回结果
异常文件-上传沙箱
服务方式