segunakinsoyinu/Incident-Response

# 内部威胁检测与事件响应：网络监控框架 **模块：** 事件响应 - 课程作业 2 | 考文垂大学 **场景：** 恶意内部人员 - 侦察、权限提升以及基于 USB 的数据窃取 **范围：** 威胁检测架构、数字取证、证据收集、APT 测试方法论 ## 概述 针对涉及内部侦察、Active Directory 枚举和基于 USB 的数据窃取的恶意内部威胁场景，为多站点企业网络设计了一个多层网络监控和事件响应框架。该框架指定了跨所有网络层级的数据收集点，将检测工具映射到每个威胁阶段，定义了符合法律标准的合理取证证据获取程序，并制定了一套 APT 测试方法论，包括测试人员资格要求以及红队/紫队演练设计。 ## 网络环境 | 组件 | 详情 | |-----------|--------| | 边界 | 网关 0 - 具备日志收集功能的基础防火墙 | | 服务器群 | 网关 3、4、5 - 数据库、文件和应用程序服务器（重点监控目标） | | 客户端工作站 | 网关 8-13 - Windows 和 Linux 端点 | | 核心路由 | 设备 1、2、6、7 - NetFlow 和 sFlow 部署点 | | 无线网络 | 接入点 14-15 - 身份验证薄弱；增加了内部威胁攻击面 | | 设备管理 | 跨所有网络基础设施的 SNMP | | 基线监控缺口 | 未部署 SIEM 或 IDS/IPS；未启用 SPAN/镜像端口配置 | ## 问题 1：侦察检测 ### 威胁向量 - 恶意内部人员技术 | 技术 | 方法 | |-----------|--------| | 端口扫描 | 针对 Gateway 3、4 和 5 处的服务器群以及 Gateway 8-13 处的客户端网络使用 Nmap 进行扫描 | | 服务枚举 | 应用程序版本指纹识别、数据库类型识别、漏洞映射 | | Active Directory 枚举 | 用户账户列表、权限映射、高价值目标识别 | | Living-off-the-land | 使用 PowerShell、WMI 和 SNMP 查询检索系统数据，而不触发默认警报 | ### 数据收集点 | 收集点 | 协议 / 方法 | 目的 | |-----------------|------------------|---------| | 路由设备 1、2、6、7 | NetFlow / sFlow 收集器 | 跨网段流量元数据；识别可疑扫描模式 | | 网关 0 和 3-5 | IPFIX 监控 | 连接活动分析；端口访问速率异常；数据量异常值 | | 网关 8-13 | IPFIX 监控 | 客户端连接分析；检测横向移动的发起 | | 网关 0 和 3、4、5 | 全数据包捕获 (PCAP) | 对服务器和出站流量进行深度检查；拦截数据窃取 | | 客户端工作站 | 端点日志记录 | 进程执行、网络连接和文件访问模式记录 | | 身份验证基础设施 | 身份验证事件日志记录 | 登录活动、权限提升、服务账户访问 - 完整审计追踪 | ### 检测工具 | 工具 | 部署位置 | 配置 | |------|-----------|---------------| | Zeek Network Security Monitor | 网关节点 | 协议和行为分析；用于端口扫描、DNS 枚举和异常服务查询模式的自定义检测脚本 | | Suricata IDS/IPS | 关键网络阻塞点 | 针对 Nmap 扫描方法、漏洞扫描器和自动化侦察工具的特征库 | | Splunk SIEM | 集中化平台 | 跨源日志关联、警报生成和统一调查界面 | ### 流量管理策略 | 策略 | 实施 | |----------|---------------| | 分层自适应采样 | 正常客户端流量采用 1:100 的采样率；对服务器群和外部网关流量保留全数据包捕获 | | 基于 NLP 的边缘过滤 | 在摄入时消除常规管理流量；保留对安全至关重要的事件以供分析 | | 基于 ML 的动态阈值 | 根据一天中的时间趋势和用户行为特征调整警报阈值；在不降低对真实侦察敏感度的前提下减少误报 | ## 问题 2：事件响应 - USB 数据窃取 ### 事件描述 连接到网关 10 的工作站在深夜访问了网关 5 处的数据库服务器，进行了权限提升，在网关 9 文件服务器上打开了大量文件，并通过插入 USB 设备窃取了数据。 ### 证据来源与预期发现 | 来源 | 证据类型 | 详情 | |--------|--------------|--------| | NetFlow - 路由节点 6、7 | 时间和体量证据 | 网关 10 工作站与网关 5 数据库服务器之间可疑通信的精确会话时间、持续时间和大小 | | Splunk SIEM - 身份验证日志 | 行为证据 | 深夜登录时间戳、权限提升序列、服务账户使用痕迹 | | 端点日志记录 - 网关 9 | 文件访问证据 | 打开的具体文件、访问模式、文件复制和移动尝试 | | USB 设备日志 - 网关 10 | 归因证据 | 设备插入时间戳、设备标识符、文件传输日志 | | NetFlow 分析 | 窃取量化 | 从数据库服务器提取的数据量；表明系统性窃取的批量查询模式 | ### 所需的额外取证收集 | 收集行动 | 工具 / 方法 | 理由 | |------------------|--------------|---------------| | 实时内存获取 - 网关 10 | DumpIt / FTK Imager | 在关机前捕获活动的网络套接字、正在运行的进程、加密密钥和缓存的文件内容 | | 注册表配置单元提取 | 注册表取证 | 记录 USB 设备历史记录、最近访问的文件以及最近执行的程序 | | 浏览器和应用程序取证 | 浏览器缓存和历史记录分析 | 识别数据暂存位置和潜在的异地通信渠道 | | 完整 PCAP 扩展 | 网关 5、9、10 处的完整数据包捕获 | 能够对所有与攻击相关的通信进行完整的会话重建 | | 扩展设备日志记录 | 路由和交换日志收集 | 提供额外的网络路径和定时证据 | | 数据库事务日志 | 日志保存和分析 | 识别被访问的确切数据并揭示异常或重复的查询模式 | ### 取证合理性与法律合规性 | 要求 | 实施 | |------------|---------------| | 证据监管链 | 具备签名证据移交记录、密封容器以及针对所有证据处理人员加盖时间戳的访问日志的文档化程序 | | 技术保全 | 在所有磁盘镜像过程中使用硬件写保护设备；在获取所有数字证据时生成 SHA-256 加密哈希值 | | 分析文档 | 记录所有步骤、工具版本和分析师注释的全面取证分析日志 | | 时间同步 | 所有相关设备的系统时钟均已根据权威时间源进行验证；在分析时间线中识别并考虑时间漂移 | ## 问题 3：APT 测试方法论 ### 测试计划结构 | 测试类型 | 频率 | 范围 | |-----------|-----------|-------| | 内部渗透测试 | 每月 | 内部和边界防御评估；在正常和压力条件下验证传感器和 SIEM 配置 | | 外部渗透测试 | 定期 | 网关 0 边界评估；日志收集器和检测规则验证 | | 红队模拟 | 定期 | APT 行为模拟 - living-off-the-land 技术、自定义恶意软件部署、跨网关 8-13 的长期持久化 | | 紫队演练 | 持续 | 攻防分析师实时协作，以完善警报规则、playbook 和检测逻辑 | ### APT 测试人员资格要求 | 要求 | 详情 | |------------|--------| | 认证 | OSCP、GPEN 或 GWAPT - 证明具备网络和 Web 应用程序安全能力 | | 框架知识 | 深入理解 MITRE ATT&CK TTP | | 经验 | 至少 3 年动手渗透测试经验 | | 许可 | 拥有符合该环境的适当安全许可 | ### APT 检测机制 | 机制 | 实施 | |-----------|---------------| | C2 信标检测 | 行为分析，识别通常与对命令和控制基础设施的持久访问一致的稳定低容量通信模式 | | 横向移动检测 | 标记跨网段的异常身份验证活动和权限提升尝试 | | 网络分段 | 在关键任务系统周围强制执行，以控制成功入侵的爆炸半径 | | 最小权限访问 | 通过限制账户权限来限制入侵后攻击者的能力 | | 强制执行 MFA | 所有管理账户均需执行，以防止凭据泄露导致的权限滥用 | | 威胁情报集成 | 提供已知 APT 基础设施标识符和入侵指标 实时馈送 | ## 应用的框架与标准 | 框架 / 标准 | 应用 | |---------------------|-------------| | MITRE ATT&CK | APT TTP 映射；红队场景设计；横向移动和 C2 检测逻辑 | | 数字取证监管链 | 确保法律可采性的证据处理程序 | | SHA-256 加密哈希 | 在获取过程中及整个监管链期间的证据完整性验证 | | NIST 事件响应生命周期 | 检测、分析、遏制、根除和恢复阶段结构 | ## 引用的工具 | 工具 | 类别 | 用途 | |------|----------|---------| | Zeek Network Security Monitor | 网络监控 | 协议分析、行为检测、自定义脚本 | | Suricata IDS/IPS | 入侵检测 | 网络阻塞点处基于特征和异常的检测 | | Splunk SIEM | 日志聚合与关联 | 集中检测、警报和调查平台 | | NetFlow / sFlow | 流量遥测 | 跨网段流量元数据收集 | | IPFIX | 流量监控 | 连接分析和数据量异常检测 | | DumpIt | 内存取证 | 从活动的 Windows 端点进行实时内存获取 | | FTK Imager | 磁盘和内存取证 | 具有哈希验证的合理取证磁盘镜像和内存捕获 | | Sysmon | Windows 端点日志记录 | 进程执行、网络连接和文件访问遥测 | | auditd | Linux 端点日志记录 | 系统调用审计和文件访问监控 | | 硬件写保护设备 | 证据保全 | 防止在镜像过程中无意修改存储介质 | ## 学术背景 | 领域 | 详情 | |-------|--------| | 大学 | 考文垂大学 | | 模块 | 事件响应 - 课程作业 2 | | 评估类型 | 技术分析 - 三题场景考试 | | 学生 | Segun Akinsoyinu |

标签：Active Directory枚举, ESC漏洞, IDS/IPS, Metaprompt, NetFlow, Nmap, pipx 安装, sFlow, USB数据窃取, 企业网络架构, 内部威胁检测, 协议分析, 子域名变形, 安全研究社区, 插件系统, 数字取证, 数据统计, 服务枚举, 本地模型, 权限提升, 端口扫描, 紫队, 网络安全, 网络安全审计, 网络监控框架, 考文垂大学课程, 自动化脚本, 虚拟驱动器, 证据收集, 防火墙日志, 隐私保护, 高级持续性威胁(APT)