当前很难在网络中探测攻击者横向渗透，其中原因有很难获取必要的日志和区别正常与恶意行为。本篇文章介绍通过部署Sysmon并将日志发送到SIEM来探测横向渗透。 工具： Sysmon + Splunk ...

通过订阅网上公开的恶意ip库（威胁情报），与SIEM平台中网络流量日志进行匹配，获得安全事件告警。 比如，这里有一个malware urls数据下载的网站，每天更新一次： https://urlha ...

0. "port knocking" 如字面意思，类似‘敲门’，只是这里敲的是‘端口’，而且需要按照顺序‘敲’端口。如果敲击规则匹配，则可以让防火墙实时更改策略。从而达到开关防火墙的目的。 1. ...