本篇文章皆为人话,基本不会出现晦涩难懂的词汇,适合超小白。(我也是)

文章可能存在不严谨情况,欢迎各位大佬指正。

文章若存在侵权或者有其他什么问题,请在“关于”页面获取联系方式。

本篇为介绍FOFA以及微步的原理以及在实际工作中的应用。

在网络安全领域,安全告警的研判是确保网络防护有效性的关键环节。FOFA 和微步(ThreatBook)作为两款强大的安全工具,能够帮助安全团队更精准、高效地进行告警分析与处置。本文将介绍如何结合使用 FOFA 和微步来提升安全告警研判的效果。

FOFA

FOFA 在安全告警研判中的应用

FOFA 是一款全球互联网资产搜索引擎,通过其强大的数据查询与分析能力,安全团队可以快速定位相关资产,了解攻击目标的详细信息。

使用 FOFA 定位攻击目标

当收到某个特定 IP 或域名的安全告警时,我们可以使用 FOFA 查询该目标的公开信息,如所属服务、使用的技术栈、历史记录等。通过这些信息,我们可以判断该目标是否存在已知漏洞,是否为高价值目标,从而决定后续的处理策略。

image-20240829115635306

FOFA 帮助确定告警的真实性

FOFA 的历史数据功能允许我们查看目标的历史资产变化情况。例如,如果某个 IP 在过去几天内频繁更换了服务或存在异常行为,那么这一告警的可信度可能会更高。此外,FOFA 的情报分析功能还可以帮助识别是否有多个攻击事件关联到同一目标,从而辅助研判告警的严重性。

image-20240829115956159

微步

微步在安全告警研判中的应用

微步是国内领先的威胁情报服务商,其提供的威胁情报数据可以帮助安全团队更好地理解告警的上下文和潜在威胁。

使用微步进行威胁情报查询

收到安全告警后,我们可以在微步的威胁情报平台上查询告警中涉及的 IP、域名、文件哈希等信息。微步的情报数据库包含了大量的恶意样本、攻击者行为分析等信息,可以帮助我们快速判断告警中的目标是否与已知的恶意行为相关。

image-20240829120211905

微步的告警上下文分析

微步还提供了丰富的上下文信息,如恶意 IP 的关联域名、过往的攻击活动以及全球范围内的情报趋势。这些信息有助于我们判断当前告警是否与全球范围内的某个特定攻击活动相关,从而决定是否需要更高的优先级来处理。

image.png

综合利用 FOFA 和微步进行告警研判

结合 FOFA 和微步的功能,我们可以实现对安全告警的全方位分析。例如,在 FOFA 上确认某个目标存在历史漏洞后,可以在微步上进一步查询该漏洞是否被恶意利用过,是否有相关的攻击样本。通过这种多角度的分析,安全团队能够更精准地判断告警的风险等级,并制定相应的应对策略。在安全告警研判中,FOFA 和微步的结合使用能够大幅提升分析的准确性与效率。通过这两款工具的协作,安全团队不仅可以更快速地响应告警,还能够深入了解潜在威胁,从而更好地保护网络环境的安全。

私货

根据前人总结的经验,如果互联网业务在国内,安全设备报文出现源IP来自于海外的IP,且微步显示为恶意IP的话,如果不是可信测试机,一律ban掉,别问为什么,没好人,哈哈。