jalvarezz13/cheatsheet_blue_team
GitHub: jalvarezz13/cheatsheet_blue_team
一份系统梳理蓝队检测与响应技术栈的速查表,涵盖 IDS/IPS、EDR、SIEM、SOAR 等安全工具的分类、关系与协作流程。
Stars: 0 | Forks: 2
# 蓝队速查表
## 思维导图:6 大家族
所有首字母缩略词根据其作用_位置_和_功能_归属于不同的家族。
| 家族 | 回答的问题 | 工具 |
| -------------------------- | ----------------------------------- | ------------------------------------------------ |
| ① 内联预防 | 实时拦截什么? | Firewall/NGFW, IPS, WAF, NAC, DPI, Antivirus/EPP |
| ② 入侵检测 | 观察并告警什么? | IDS, IPS |
| ③ 检测与响应 | 如何应对威胁? | EDR, NDR, XDR, MDR |
| ④ 聚合与分析 | 集中并关联什么? | SIM, SEM, SIEM, UEBA, TIP/CTI |
| ⑤ 响应与编排 | 管理什么事件? | SIRP, SOAR |
| ⑥ 特定领域 | 数据、云、身份、攻击面 | DLP, CASB, SASE/SSE, CNAPP, ASM, VM, IAM/PAM/IGA |
| (背景上下文) | 谁在运营这一切? | SOC, NOC, MSSP, IR |
## 图表 1 — 关系(SOC 中的数据流)
```
flowchart TB
subgraph L1["① Fuentes de telemetria"]
direction LR
EP[Endpoints]
NET[Red / Trafico]
CLD[Cloud / SaaS]
APP[Apps / Web]
IDN[Identidad / IAM]
end
subgraph L2["② Prevencion / Deteccion inline (bloquean)"]
direction LR
FW[Firewall / NGFW]
IPS[IPS]
WAF[WAF]
EPP[Antivirus / EPP]
NAC[NAC]
end
subgraph L3["③ Deteccion y Respuesta"]
direction LR
IDS[IDS]
EDR[EDR]
NDR[NDR]
XDR[[XDR]]
end
subgraph L4["④ Agregacion · Correlacion · Analisis"]
direction LR
SIM[SIM] --> SIEM[[SIEM]]
SEM[SEM] --> SIEM
UEBA[UEBA]
TIP[TIP / CTI]
end
subgraph L5["⑤ Respuesta · Orquestacion"]
direction LR
SIRP[SIRP] --> SOAR[[SOAR]]
end
SOC{{"SOC · Analistas L1 / L2 / L3"}}
L1 --> L2
L1 --> L3
EDR --> XDR
NDR --> XDR
L2 -->|logs / alertas| SIEM
IDS --> SIEM
XDR --> SIEM
UEBA --> SIEM
TIP --> SIEM
SIEM -->|alertas priorizadas| SOAR
XDR --> SOAR
TIP --> SOAR
SOAR <-->|playbooks / triage| SOC
```
**如何阅读:** 数据自下而上流动。内联工具 (②) 进行即时拦截;检测工具 (③) 进行观察和响应;所有数据都倾泻至 SIEM (④) 进行关联;严重告警传递给 SOAR/SIRP (⑤) 编排响应,整个过程由 SOC 监督。
## 图表 2 — 构成(“由什么组成”)
几个首字母缩略词**是其他几个的总和**:
```
flowchart LR
subgraph A["SIEM = SIM + SEM"]
SIM[SIM
almacenamiento +
analisis historico / forense] --> SIEM[[SIEM]] SEM[SEM
tiempo real +
correlacion + alertas] --> SIEM end subgraph B["IPS = IDS + bloqueo"] IDS[IDS
detecta y alerta
pasivo] --> IPS[[IPS
detecta + bloquea
inline]] end subgraph C["XDR = EDR + NDR + ..."] AV[Antivirus / EPP] --> EDR[EDR
solo endpoint] EDR --> XDR[[XDR
multi-telemetria]] NDR[NDR
solo red] --> XDR EXTRA[Cloud / Email / Identidad] --> XDR end subgraph D["SOAR contiene a SIRP + TIP"] SIRP[SIRP
gestion de casos /
ticketing del incidente] --> SOAR[[SOAR]] ORCH[Orquestacion +
Playbooks] --> SOAR AUTO[Automatizacion] --> SOAR TIP[TIP
inteligencia de amenazas] --> SOAR end ``` **4 个关键关系:** - **SIEM = SIM + SEM** → SIM 提供历史/取证/合规性;SEM 提供实时/关联。 - **IPS = IDS + 拦截** → 相同的检测引擎,但 IPS 位于_内联_并执行切断;IDS 仅_发出告警_。 - **XDR = EDR + NDR + 云/电子邮件/身份遥测** → XDR 关联多个来源;EDR/NDR 仅覆盖单一来源。 - **SOAR ⊇ SIRP** → SIRP 是案例管理(事件的“工单系统”);SOAR 以编排、自动化 (_playbooks_) 和情报 (TIP) 对其进行包裹。 ## 图表 3 — 攻击之旅(逐步分解) 跟随一次**攻击的路径**穿透整个技术栈,包含带编号的箭头 (①→⑤) 和决策点(菱形)。 **颜色图例:** 红色 = 预防 · 黄色 = 检测 · 蓝色 = 分析 · 绿色 = 响应。 ``` flowchart TD Start(["Un atacante lanza un ataque"]) --> FW subgraph F1["FASE 1 · PREVENIR — bloqueo en tiempo real"] FW{"Firewall / NGFW / WAF
¿coincide con una regla
o firma conocida?"} end FW -->|"① SÍ: amenaza conocida"| BLOCK["Bloqueado:
el ataque termina aquí"] FW -->|"① NO: el tráfico pasa, hay que vigilarlo"| F2 subgraph F2["FASE 2 · DETECTAR — observar y reaccionar"] direction LR IDS["IDS / IPS
vigila la red"] EDR["EDR
vigila el endpoint"] NDR["NDR
vigila el tráfico interno"] end F2 -->|"② cada herramienta genera eventos y logs"| F3 subgraph F3["FASE 3 · ANALIZAR — centralizar y correlacionar"] SIEM["SIEM = SIM + SEM
reúne TODOS los logs
y los correlaciona"] TIP["TIP / CTI
¿IP o hash
malicioso conocido?"] -->|"enriquece"| SIEM UEBA["UEBA
¿comportamiento
anómalo?"] -->|"aporta anomalías"| SIEM end F3 --> Q{"③ ¿Es una alerta
real y grave?"} Q -->|"NO: falso positivo"| DISCARD["Se descarta"] Q -->|"SÍ: se crea un INCIDENTE"| F4 subgraph F4["FASE 4 · RESPONDER — gestionar y automatizar"] SIRP["SIRP
abre el caso
y lo documenta"] -->|"dispara"| SOAR["SOAR
ejecuta el playbook
automático"] end F4 --> SOC{{"SOC
los analistas
investigan y deciden"}} SOC -->|"④ ordena contener"| ACTION["Respuesta:
aislar host · bloquear IP ·
matar proceso · cerrar sesión"] ACTION -.->|"⑤ feedback: se crea una regla nueva"| FW classDef prevent fill:#ffe0e0,stroke:#c0392b,color:#111 classDef detect fill:#fff4d6,stroke:#e67e22,color:#111 classDef analyze fill:#e0ecff,stroke:#2980b9,color:#111 classDef respond fill:#e0f5e0,stroke:#27ae60,color:#111 classDef stop fill:#ededed,stroke:#888,color:#111 class FW prevent class IDS,EDR,NDR detect class SIEM,UEBA,TIP analyze class SIRP,SOAR,SOC,ACTION respond class BLOCK,DISCARD stop ``` **逐步路径(跟随箭头):** 1. **①** 攻击到达边界。Firewall/NGFW/WAF 会自问:_我已经知道这种威胁了吗?_ 如果**是**,则拦截它并到此结束。如果**否**,则放行流量(可能是合法的……也可能是新攻击)。 2. **②** 通过的流量将受到监控:**IDS/IPS** 监控网络,**EDR** 监控设备,**NDR** 监控内部流量。每一个都会生成 _logs_。 3. **③** 所有这些 logs 进入 **SIEM**,由其汇总并关联;**UEBA** 补充“这是一种奇怪的行为”,**TIP** 补充“该 IP 因恶意而广为人知”。综合这一切后决定:_是真实且严重的告警吗?_ 如果不是,则丢弃(误报)。 4. **④** 如果严重,则诞生一个**事件**:**SIRP** 开启案例,**SOAR** 启动自动 _playbook_。**SOC**(人员)进行调查和决策。 5. **⑤** 执行响应(隔离、拦截等),并且——最重要的是——创建一条**新规则**返回给 firewall:系统_学习_,下次该攻击将在第 1 阶段被拦截。闭环完成。 ## 完整参考表 ### ① 预防与边界(针对流量/执行进行_内联_操作) | 缩略语 | 名称 | 功能 | 允许检测的内容 | 动作 | | ------------ | ---------------------------------------- | -------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------ | -------------------- | | **Firewall** | Network Firewall | 通过 IP/端口/协议规则过滤流量(3-4 层) | 未经授权的连接、不允许的端口、黑名单 IP、基础扫描 | 拦截 | | **NGFW** | Next-Generation Firewall | Firewall + 应用和用户识别 + IPS + TLS 检查 | 未经授权的应用 (app-ID)、流量中的 malware、已知的 C2、用户访问被禁止的内容 | 拦截 | | **WAF** | Web Application Firewall | 过滤发往 Web 应用的 HTTP/S 请求(第 7 层) | OWASP Top 10: SQLi, XSS, CSRF, path traversal, RCE web, bots, credential stuffing | 拦截 | | **NAC** | Network Access Control | 控制哪些设备可以连接及其安全态势 | 未经授权/不合规的设备、未受管理的 BYOD、shadow IT、未打补丁或无 AV 的设备 | 拦截 / 隔离 | | **DPI** | Deep Packet Inspection | 检查数据包的_内容_,而不仅仅是头部 | 恶意 payload 模式、隐蔽的数据泄露、混淆/隧道化的协议 | 告警 / 拦截 | | **EPP / AV** | Endpoint Protection Platform / Antivirus | 基于特征码和启发式分析的预防性反恶意软件 | 已知的 malware、基础 ransomware、PUPs、已分类归档的木马 | 拦截 | ### ② 入侵检测 | 缩略语 | 名称 | 功能 | 允许检测的内容 | 动作 | | -------- | --------------------------- | ---------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------- | --------------- | | **IDS** | Intrusion Detection System | 观察流量 (NIDS) 或主机 (HIDS) 以寻找特征码/异常 | 已知的 Exploits、端口扫描、协议异常 (NIDS);文件完整性更改、可疑的 logs (HIDS) | 告警(被动) | | **IPS** | Intrusion Prevention System | 位于_内联_的 IDS,同时还会切断连接 | 与 IDS 相同,但实时进行:正在进行的入侵尝试和 Exploits | 拦截 | ### ③ 检测与响应(遥测 + 分析 + 行动) | 缩略语 | 名称 | 功能 | 允许检测的内容 | 动作 | | -------- | ----------------------------- | ------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------ | ----------------------------------------------- | | **EDR** | Endpoint Detection & Response | 记录并分析 endpoint 的行为;允许做出响应 | Ransomware(大规模加密)、_living-off-the-land_ (PowerShell/WMI)、进程注入、持久化、_fileless malware_、横向移动的启动 | 检测 + 响应(隔离主机、杀死进程、_rollback_) | | **NDR** | Network Detection & Response | 应用于网络流量的 EDR,尤其是东西向(内部)流量 | C2 _beaconing_、数据泄露、DNS 隧道、横向移动、未触及受监控 endpoint 的加密流量异常 | 检测 + 响应 | | **XDR** | Extended Detection & Response | 关联 endpoint + 网络 + 云 + 电子邮件 + 身份的遥测数据 | **完整的攻击链**:钓鱼(电子邮件)→ 执行(endpoint)→ C2(网络)→ 访问(云);通过结合信号减少误报 | 检测 + 响应(多层) | | **MDR** | Managed Detection & Response | 由外部团队 24/7 _作为服务运营_的 EDR/XDR | EDR/XDR 能检测到的内容,适用于没有内部团队进行调查和响应的组织 | 检测 + 响应(外包) | ### ④ 聚合、关联与分析 | 缩略语 | 名称 | 功能 | 允许检测的内容 | 动作 | | ------------- | ------------------------------------------------------ | ------------------------------------------------------ | ---------------------------------------------------------------------------------------------------------------------------------------- | ------------------------- | | **SIM** | Security Information Management | 长期存储和分析 logs | 缓慢的模式、事件后的取证证据、合规性(“谁在 6 个月前访问了什么”) | 可见化 / 取证 | | **SEM** | Security Event Management | 实时监控和关联事件 | 即时事件和瞬时关联(例如,同时在 5 个系统上发生相同的登录失败) | 告警 | | **SIEM** | Security Information & Event Management | SIM + SEM:摄取所有 logs 并按规则关联 | 对单一工具不可见的多源攻击:分布式暴力破解、FW+AD+app 关联、合规性违规 | 告警 + 调查 | | **UEBA** | User & Entity Behavior Analytics | 创建行为基线并检测偏差 | _Insider threat_、被盗账户、_impossible travel_、海量数据访问、隐蔽的权限提升、**无特征码**的威胁 | 基于异常告警 | | **TIP / CTI** | Threat Intelligence Platform / Cyber Threat Intelligence | 聚合并运营行为者的指标 和 TTPs | 已知 IoCs(IPs/哈希/域名)的存在,归因于行为者(例如,“此 IP 属于 APT29”) | 丰富化(不仅是检测) | ### ⑤ 响应与编排 | 缩略语 | 名称 | 功能 | 允许检测的内容 | 动作 | | -------- | ---------------------------------------------- | ----------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------- | ------------------ | | **SIRP** | Security Incident Response Platform | 管理事件的生命周期 (_case management_) | 不检测:提供案例的可追溯性、SLA、文档化和工作流 | 管理案例 | | **SOAR** | Security Orchestration, Automation & Response | 编排工具并执行自动 _playbooks_ | 不检测:**自动化响应**(例如,几秒钟内隔离主机 + 拦截 IP + 开启工单);减少 MTTR | 自动化响应 | ### ⑥ 数据与云 | 缩略语 | 名称 | 功能 | 允许检测的内容 | 动作 | | -------------- | -------------------------------------------------- | ----------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------- | ------------------------ | | **DLP** | Data Loss Prevention | 检查并控制敏感数据的移动 | 通过电子邮件、USB 或上传到云导致的 PII/PCI/知识产权泄露;基于内容的检测(正则表达式, _fingerprinting_) | 告警 / 拦截 | | **CASB** | Cloud Access Security Broker | 介入并监控 SaaS 应用程序的使用 | _Shadow IT_(未经批准的 SaaS)、云中不当的数据共享、异常访问、不安全的 SaaS 配置 | 告警 / 拦截 | | **SASE / SSE** | Secure Access Service Edge / Security Service Edge | 在云端融合网络与安全 (FW, CASB, SWG, ZTNA) | 远程访问风险;在 _edge_ 应用 DLP/CASB/过滤,采用 _zero trust_ 模型 | 拦截 / 控制访问 | | **CSPM** | Cloud Security Posture Management | 审计云基础设施的配置 | 公开的 S3 存储桶、过度的 IAM、配置 _drift_、不符合 _benchmarks_ (CIS) | 告警 | | **CWPP** | Cloud Workload Protection Platform | 保护工作负载 (VMs, 容器, _serverless_) | 云 _workloads_ 中的漏洞和 malware、容器中的异常行为 | 检测 + 保护 | | **CNAPP** | Cloud-Native Application Protection Platform | 统一 CSPM + CWPP(+ 其他) | 云中的端到端风险:配置 + workloads + 身份 + 相关的漏洞 | 检测 + 保护 | ### ⑦ 高级分析与欺骗 | 概念 | 名称 | 功能 | 允许检测的内容 | 动作 | | ------------------------ | --------------------- | ---------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------- | ---------------------- | | **Th Hunting** | 威胁狩猎 | 在假设指导下的主动搜寻 | **已规避**自动检测的威胁;不会触发任何告警的内容 | 发现 | | **Sandbox** | 沙箱化 | 在隔离环境中引爆可疑的文件/URLs | 未知 malware 和 _zero-day_(基于其实际行为)、规避技术、隐藏的 payloads | 检测 + 分类 | | **Honeypot / Deception** | 蜜罐 / 欺骗技术 | 部署对攻击者有吸引力的虚假资产 | **已经位于**网络内部的攻击者:任何交互从定义上讲都是可疑的;内部侦察和横向移动 | 告警(高保真) | ### ⑧ 攻击面与漏洞 | 缩略语 | 名称 | 功能 | 允许检测的内容 | 动作 | | -------------- | ---------------------------------- | ----------------------------------------------------------- | ----------------------------------------------------------------------------------------------- | -------------------- | | **ASM / EASM** | (External) Attack Surface Management | 像攻击者一样“从外部”映射暴露的资产 | 未知的资产/外部 _shadow IT_、开放的端口、子域、过期的证书、泄露的凭证 | 清单 / 告警 | | **VM** | Vulnerability Management | 扫描资产并按风险优先排列漏洞顺序 | 已知漏洞 (CVEs)、未打补丁的 _software_、基于可利用性的优先级排列 | 识别 / 优先级排列 | | **CVE** | Common Vulnerabilities and Exposures | 已知漏洞的标准标识符 | 不检测:它是 VM, IDS/IPS 和 NGFW 使用的 _参考_ | 编目 | ### ⑨ 身份与访问 | 缩略语 | 名称 | 功能 | 允许检测的内容 | 动作 | | -------- | ---------------------------------- | ------------------------------------------------------ | ------------------------------------------------------------------------------------------------- | ------------------ | | **IAM** | Identity & Access Management | 管理身份、身份验证和授权 | 为 SIEM/UEBA/XDR 提供数据的身份遥测的基础 | 控制访问 | | **PAM** | Privileged Access Management | 控制并记录特权账户的使用 | 滥用管理员凭证、流程之外的特权访问、滥用 _root_ 账户 | 控制 + 审计 | | **IGA** | Identity Governance & Administration | 治理访问权限的生命周期和认证 | 过度/孤立的访问权限、违反职责分离 (SoD)、_privilege creep_ | 审计 / 补救 | | **MFA** | Multi-Factor Authentication | 要求提供第二种身份验证因素 | 阻止使用被盗凭证进行访问;生成尝试和 _MFA fatigue_ 的遥测数据 | 拦截 / 验证 | ### ⑩ 运营(组织背景,非工具) | 缩略语 | 名称 | 功能 | | -------- | --------------------------------- | --------------------------------------------------------------------------------------------------------- | | **SOC** | Security Operations Center | 运营所有检测和响应的团队 + 流程 + 工具(L1/L2/L3 分析师) | | **NOC** | Network Operations Center | SOC 的“表亲”,但侧重于可用性和性能,而不是安全 | | **MSSP** | Managed Security Service Provider | 为第三方运营这些工具的外包 SOC | | **IR** | Incident Response | 响应的_流程_(NIST 生命周期:准备 → 检测 → 遏制 → 根除 → 恢复 → 经验教训) | ## 框架(用于构建结构,不用于检测) 它们不是检测工具;它们是用来_映射、衡量和组织_检测的分类体系: - **MITRE ATT&CK** — 战术和技术的分类体系;衡量你检测的覆盖率。 - **Cyber Kill Chain** (Lockheed Martin) — 攻击的 7 个阶段,从侦察到数据泄露。 - **NIST CSF** — 组织功能:识别、保护、检测、响应、恢复(在 v2.0 中增加了治理)。 - **Pyramid of Pain** — IoC 的层次结构,取决于你拦截它们时给攻击者造成多大的“痛苦”(哈希 = 简单;TTPs = 痛苦)。 ## 按类别划分的商业产品示例 | 类别 | 代表性产品 | | ------------------------- | ------------------------------------------------------------------------------------------------- | | **Firewall / NGFW** | Palo Alto (PAN-OS), Fortinet FortiGate, Cisco Secure Firewall, Check Point | | **WAF** | Cloudflare WAF, AWS WAF, Imperva, F5 Advanced WAF, Akamai | | **NAC** | Cisco ISE, Aruba ClearPass, Forescout | | **IDS / IPS** | Snort, Suricata, Zeek (开源);Palo Alto Threat Prevention, Cisco Firepower | | **EPP / Antivirus** | Microsoft Defender, Bitdefender, SentinelOne, CrowdStrike Falcon | | **EDR** | CrowdStrike Falcon, SentinelOne Singularity, Microsoft Defender for Endpoint, VMware Carbon Black | | **NDR** | Darktrace, Vectra AI, ExtraHop Reveal(x), Corelight | | **XDR** | Palo Alto Cortex XDR, Microsoft Defender XDR, Trend Vision One, SentinelOne Singularity | | **MDR** | CrowdStrike Falcon Complete, Arctic Wolf, Expel, Red Canary, Sophos MDR | | **SIEM** | Splunk, Microsoft Sentinel, IBM QRadar, Elastic Security, Google Chronicle | | **UEBA** | Exabeam, Securonix, Splunk UBA, Microsoft Sentinel UEBA | | **TIP / CTI** | Recorded Future, Mandiant, Anomali, ThreatConnect, MISP (开源) | | **SIRP / SOAR** | Palo Alto Cortex XSOAR, Splunk SOAR, Tines, Swimlane, IBM Resilient | | **DLP** | Microsoft Purview DLP, Symantec DLP, Forcepoint, Digital Guardian | | **CASB** | Microsoft Defender for Cloud Apps, Netskope, Zscaler, Skyhigh | | **SASE / SSE** | Zscaler, Netskope, Palo Alto Prisma Access, Cloudflare One, Cato Networks | | **CNAPP / CSPM / CWPP** | Wiz, Prisma Cloud, Microsoft Defender for Cloud, Lacework, Orca Security | | **Sandbox** | Palo Alto WildFire, Joe Sandbox, VMRay, Any.Run, Cuckoo (开源) | | **Honeypot / Deception** | Thinkst Canary, Zscaler Deception, SentinelOne Singularity Identity, T-Pot (开源) | | **ASM / EASM** | Microsoft Defender EASM, Palo Alto Cortex Xpanse, Censys, Mandiant ASM | | **VM** | Tenable (Nessus), Qualys VMDR, Rapid7 InsightVM, OpenVAS (开源) | | **IAM** | Okta, Microsoft Entra ID, Ping Identity, ForgeRock | | **PAM** | CyberArk, BeyondTrust, Delinea | | **IGA** | SailPoint, Saviynt, Microsoft Entra ID Governance |
almacenamiento +
analisis historico / forense] --> SIEM[[SIEM]] SEM[SEM
tiempo real +
correlacion + alertas] --> SIEM end subgraph B["IPS = IDS + bloqueo"] IDS[IDS
detecta y alerta
pasivo] --> IPS[[IPS
detecta + bloquea
inline]] end subgraph C["XDR = EDR + NDR + ..."] AV[Antivirus / EPP] --> EDR[EDR
solo endpoint] EDR --> XDR[[XDR
multi-telemetria]] NDR[NDR
solo red] --> XDR EXTRA[Cloud / Email / Identidad] --> XDR end subgraph D["SOAR contiene a SIRP + TIP"] SIRP[SIRP
gestion de casos /
ticketing del incidente] --> SOAR[[SOAR]] ORCH[Orquestacion +
Playbooks] --> SOAR AUTO[Automatizacion] --> SOAR TIP[TIP
inteligencia de amenazas] --> SOAR end ``` **4 个关键关系:** - **SIEM = SIM + SEM** → SIM 提供历史/取证/合规性;SEM 提供实时/关联。 - **IPS = IDS + 拦截** → 相同的检测引擎,但 IPS 位于_内联_并执行切断;IDS 仅_发出告警_。 - **XDR = EDR + NDR + 云/电子邮件/身份遥测** → XDR 关联多个来源;EDR/NDR 仅覆盖单一来源。 - **SOAR ⊇ SIRP** → SIRP 是案例管理(事件的“工单系统”);SOAR 以编排、自动化 (_playbooks_) 和情报 (TIP) 对其进行包裹。 ## 图表 3 — 攻击之旅(逐步分解) 跟随一次**攻击的路径**穿透整个技术栈,包含带编号的箭头 (①→⑤) 和决策点(菱形)。 **颜色图例:** 红色 = 预防 · 黄色 = 检测 · 蓝色 = 分析 · 绿色 = 响应。 ``` flowchart TD Start(["Un atacante lanza un ataque"]) --> FW subgraph F1["FASE 1 · PREVENIR — bloqueo en tiempo real"] FW{"Firewall / NGFW / WAF
¿coincide con una regla
o firma conocida?"} end FW -->|"① SÍ: amenaza conocida"| BLOCK["Bloqueado:
el ataque termina aquí"] FW -->|"① NO: el tráfico pasa, hay que vigilarlo"| F2 subgraph F2["FASE 2 · DETECTAR — observar y reaccionar"] direction LR IDS["IDS / IPS
vigila la red"] EDR["EDR
vigila el endpoint"] NDR["NDR
vigila el tráfico interno"] end F2 -->|"② cada herramienta genera eventos y logs"| F3 subgraph F3["FASE 3 · ANALIZAR — centralizar y correlacionar"] SIEM["SIEM = SIM + SEM
reúne TODOS los logs
y los correlaciona"] TIP["TIP / CTI
¿IP o hash
malicioso conocido?"] -->|"enriquece"| SIEM UEBA["UEBA
¿comportamiento
anómalo?"] -->|"aporta anomalías"| SIEM end F3 --> Q{"③ ¿Es una alerta
real y grave?"} Q -->|"NO: falso positivo"| DISCARD["Se descarta"] Q -->|"SÍ: se crea un INCIDENTE"| F4 subgraph F4["FASE 4 · RESPONDER — gestionar y automatizar"] SIRP["SIRP
abre el caso
y lo documenta"] -->|"dispara"| SOAR["SOAR
ejecuta el playbook
automático"] end F4 --> SOC{{"SOC
los analistas
investigan y deciden"}} SOC -->|"④ ordena contener"| ACTION["Respuesta:
aislar host · bloquear IP ·
matar proceso · cerrar sesión"] ACTION -.->|"⑤ feedback: se crea una regla nueva"| FW classDef prevent fill:#ffe0e0,stroke:#c0392b,color:#111 classDef detect fill:#fff4d6,stroke:#e67e22,color:#111 classDef analyze fill:#e0ecff,stroke:#2980b9,color:#111 classDef respond fill:#e0f5e0,stroke:#27ae60,color:#111 classDef stop fill:#ededed,stroke:#888,color:#111 class FW prevent class IDS,EDR,NDR detect class SIEM,UEBA,TIP analyze class SIRP,SOAR,SOC,ACTION respond class BLOCK,DISCARD stop ``` **逐步路径(跟随箭头):** 1. **①** 攻击到达边界。Firewall/NGFW/WAF 会自问:_我已经知道这种威胁了吗?_ 如果**是**,则拦截它并到此结束。如果**否**,则放行流量(可能是合法的……也可能是新攻击)。 2. **②** 通过的流量将受到监控:**IDS/IPS** 监控网络,**EDR** 监控设备,**NDR** 监控内部流量。每一个都会生成 _logs_。 3. **③** 所有这些 logs 进入 **SIEM**,由其汇总并关联;**UEBA** 补充“这是一种奇怪的行为”,**TIP** 补充“该 IP 因恶意而广为人知”。综合这一切后决定:_是真实且严重的告警吗?_ 如果不是,则丢弃(误报)。 4. **④** 如果严重,则诞生一个**事件**:**SIRP** 开启案例,**SOAR** 启动自动 _playbook_。**SOC**(人员)进行调查和决策。 5. **⑤** 执行响应(隔离、拦截等),并且——最重要的是——创建一条**新规则**返回给 firewall:系统_学习_,下次该攻击将在第 1 阶段被拦截。闭环完成。 ## 完整参考表 ### ① 预防与边界(针对流量/执行进行_内联_操作) | 缩略语 | 名称 | 功能 | 允许检测的内容 | 动作 | | ------------ | ---------------------------------------- | -------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------ | -------------------- | | **Firewall** | Network Firewall | 通过 IP/端口/协议规则过滤流量(3-4 层) | 未经授权的连接、不允许的端口、黑名单 IP、基础扫描 | 拦截 | | **NGFW** | Next-Generation Firewall | Firewall + 应用和用户识别 + IPS + TLS 检查 | 未经授权的应用 (app-ID)、流量中的 malware、已知的 C2、用户访问被禁止的内容 | 拦截 | | **WAF** | Web Application Firewall | 过滤发往 Web 应用的 HTTP/S 请求(第 7 层) | OWASP Top 10: SQLi, XSS, CSRF, path traversal, RCE web, bots, credential stuffing | 拦截 | | **NAC** | Network Access Control | 控制哪些设备可以连接及其安全态势 | 未经授权/不合规的设备、未受管理的 BYOD、shadow IT、未打补丁或无 AV 的设备 | 拦截 / 隔离 | | **DPI** | Deep Packet Inspection | 检查数据包的_内容_,而不仅仅是头部 | 恶意 payload 模式、隐蔽的数据泄露、混淆/隧道化的协议 | 告警 / 拦截 | | **EPP / AV** | Endpoint Protection Platform / Antivirus | 基于特征码和启发式分析的预防性反恶意软件 | 已知的 malware、基础 ransomware、PUPs、已分类归档的木马 | 拦截 | ### ② 入侵检测 | 缩略语 | 名称 | 功能 | 允许检测的内容 | 动作 | | -------- | --------------------------- | ---------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------- | --------------- | | **IDS** | Intrusion Detection System | 观察流量 (NIDS) 或主机 (HIDS) 以寻找特征码/异常 | 已知的 Exploits、端口扫描、协议异常 (NIDS);文件完整性更改、可疑的 logs (HIDS) | 告警(被动) | | **IPS** | Intrusion Prevention System | 位于_内联_的 IDS,同时还会切断连接 | 与 IDS 相同,但实时进行:正在进行的入侵尝试和 Exploits | 拦截 | ### ③ 检测与响应(遥测 + 分析 + 行动) | 缩略语 | 名称 | 功能 | 允许检测的内容 | 动作 | | -------- | ----------------------------- | ------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------ | ----------------------------------------------- | | **EDR** | Endpoint Detection & Response | 记录并分析 endpoint 的行为;允许做出响应 | Ransomware(大规模加密)、_living-off-the-land_ (PowerShell/WMI)、进程注入、持久化、_fileless malware_、横向移动的启动 | 检测 + 响应(隔离主机、杀死进程、_rollback_) | | **NDR** | Network Detection & Response | 应用于网络流量的 EDR,尤其是东西向(内部)流量 | C2 _beaconing_、数据泄露、DNS 隧道、横向移动、未触及受监控 endpoint 的加密流量异常 | 检测 + 响应 | | **XDR** | Extended Detection & Response | 关联 endpoint + 网络 + 云 + 电子邮件 + 身份的遥测数据 | **完整的攻击链**:钓鱼(电子邮件)→ 执行(endpoint)→ C2(网络)→ 访问(云);通过结合信号减少误报 | 检测 + 响应(多层) | | **MDR** | Managed Detection & Response | 由外部团队 24/7 _作为服务运营_的 EDR/XDR | EDR/XDR 能检测到的内容,适用于没有内部团队进行调查和响应的组织 | 检测 + 响应(外包) | ### ④ 聚合、关联与分析 | 缩略语 | 名称 | 功能 | 允许检测的内容 | 动作 | | ------------- | ------------------------------------------------------ | ------------------------------------------------------ | ---------------------------------------------------------------------------------------------------------------------------------------- | ------------------------- | | **SIM** | Security Information Management | 长期存储和分析 logs | 缓慢的模式、事件后的取证证据、合规性(“谁在 6 个月前访问了什么”) | 可见化 / 取证 | | **SEM** | Security Event Management | 实时监控和关联事件 | 即时事件和瞬时关联(例如,同时在 5 个系统上发生相同的登录失败) | 告警 | | **SIEM** | Security Information & Event Management | SIM + SEM:摄取所有 logs 并按规则关联 | 对单一工具不可见的多源攻击:分布式暴力破解、FW+AD+app 关联、合规性违规 | 告警 + 调查 | | **UEBA** | User & Entity Behavior Analytics | 创建行为基线并检测偏差 | _Insider threat_、被盗账户、_impossible travel_、海量数据访问、隐蔽的权限提升、**无特征码**的威胁 | 基于异常告警 | | **TIP / CTI** | Threat Intelligence Platform / Cyber Threat Intelligence | 聚合并运营行为者的指标 和 TTPs | 已知 IoCs(IPs/哈希/域名)的存在,归因于行为者(例如,“此 IP 属于 APT29”) | 丰富化(不仅是检测) | ### ⑤ 响应与编排 | 缩略语 | 名称 | 功能 | 允许检测的内容 | 动作 | | -------- | ---------------------------------------------- | ----------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------- | ------------------ | | **SIRP** | Security Incident Response Platform | 管理事件的生命周期 (_case management_) | 不检测:提供案例的可追溯性、SLA、文档化和工作流 | 管理案例 | | **SOAR** | Security Orchestration, Automation & Response | 编排工具并执行自动 _playbooks_ | 不检测:**自动化响应**(例如,几秒钟内隔离主机 + 拦截 IP + 开启工单);减少 MTTR | 自动化响应 | ### ⑥ 数据与云 | 缩略语 | 名称 | 功能 | 允许检测的内容 | 动作 | | -------------- | -------------------------------------------------- | ----------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------- | ------------------------ | | **DLP** | Data Loss Prevention | 检查并控制敏感数据的移动 | 通过电子邮件、USB 或上传到云导致的 PII/PCI/知识产权泄露;基于内容的检测(正则表达式, _fingerprinting_) | 告警 / 拦截 | | **CASB** | Cloud Access Security Broker | 介入并监控 SaaS 应用程序的使用 | _Shadow IT_(未经批准的 SaaS)、云中不当的数据共享、异常访问、不安全的 SaaS 配置 | 告警 / 拦截 | | **SASE / SSE** | Secure Access Service Edge / Security Service Edge | 在云端融合网络与安全 (FW, CASB, SWG, ZTNA) | 远程访问风险;在 _edge_ 应用 DLP/CASB/过滤,采用 _zero trust_ 模型 | 拦截 / 控制访问 | | **CSPM** | Cloud Security Posture Management | 审计云基础设施的配置 | 公开的 S3 存储桶、过度的 IAM、配置 _drift_、不符合 _benchmarks_ (CIS) | 告警 | | **CWPP** | Cloud Workload Protection Platform | 保护工作负载 (VMs, 容器, _serverless_) | 云 _workloads_ 中的漏洞和 malware、容器中的异常行为 | 检测 + 保护 | | **CNAPP** | Cloud-Native Application Protection Platform | 统一 CSPM + CWPP(+ 其他) | 云中的端到端风险:配置 + workloads + 身份 + 相关的漏洞 | 检测 + 保护 | ### ⑦ 高级分析与欺骗 | 概念 | 名称 | 功能 | 允许检测的内容 | 动作 | | ------------------------ | --------------------- | ---------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------- | ---------------------- | | **Th Hunting** | 威胁狩猎 | 在假设指导下的主动搜寻 | **已规避**自动检测的威胁;不会触发任何告警的内容 | 发现 | | **Sandbox** | 沙箱化 | 在隔离环境中引爆可疑的文件/URLs | 未知 malware 和 _zero-day_(基于其实际行为)、规避技术、隐藏的 payloads | 检测 + 分类 | | **Honeypot / Deception** | 蜜罐 / 欺骗技术 | 部署对攻击者有吸引力的虚假资产 | **已经位于**网络内部的攻击者:任何交互从定义上讲都是可疑的;内部侦察和横向移动 | 告警(高保真) | ### ⑧ 攻击面与漏洞 | 缩略语 | 名称 | 功能 | 允许检测的内容 | 动作 | | -------------- | ---------------------------------- | ----------------------------------------------------------- | ----------------------------------------------------------------------------------------------- | -------------------- | | **ASM / EASM** | (External) Attack Surface Management | 像攻击者一样“从外部”映射暴露的资产 | 未知的资产/外部 _shadow IT_、开放的端口、子域、过期的证书、泄露的凭证 | 清单 / 告警 | | **VM** | Vulnerability Management | 扫描资产并按风险优先排列漏洞顺序 | 已知漏洞 (CVEs)、未打补丁的 _software_、基于可利用性的优先级排列 | 识别 / 优先级排列 | | **CVE** | Common Vulnerabilities and Exposures | 已知漏洞的标准标识符 | 不检测:它是 VM, IDS/IPS 和 NGFW 使用的 _参考_ | 编目 | ### ⑨ 身份与访问 | 缩略语 | 名称 | 功能 | 允许检测的内容 | 动作 | | -------- | ---------------------------------- | ------------------------------------------------------ | ------------------------------------------------------------------------------------------------- | ------------------ | | **IAM** | Identity & Access Management | 管理身份、身份验证和授权 | 为 SIEM/UEBA/XDR 提供数据的身份遥测的基础 | 控制访问 | | **PAM** | Privileged Access Management | 控制并记录特权账户的使用 | 滥用管理员凭证、流程之外的特权访问、滥用 _root_ 账户 | 控制 + 审计 | | **IGA** | Identity Governance & Administration | 治理访问权限的生命周期和认证 | 过度/孤立的访问权限、违反职责分离 (SoD)、_privilege creep_ | 审计 / 补救 | | **MFA** | Multi-Factor Authentication | 要求提供第二种身份验证因素 | 阻止使用被盗凭证进行访问;生成尝试和 _MFA fatigue_ 的遥测数据 | 拦截 / 验证 | ### ⑩ 运营(组织背景,非工具) | 缩略语 | 名称 | 功能 | | -------- | --------------------------------- | --------------------------------------------------------------------------------------------------------- | | **SOC** | Security Operations Center | 运营所有检测和响应的团队 + 流程 + 工具(L1/L2/L3 分析师) | | **NOC** | Network Operations Center | SOC 的“表亲”,但侧重于可用性和性能,而不是安全 | | **MSSP** | Managed Security Service Provider | 为第三方运营这些工具的外包 SOC | | **IR** | Incident Response | 响应的_流程_(NIST 生命周期:准备 → 检测 → 遏制 → 根除 → 恢复 → 经验教训) | ## 框架(用于构建结构,不用于检测) 它们不是检测工具;它们是用来_映射、衡量和组织_检测的分类体系: - **MITRE ATT&CK** — 战术和技术的分类体系;衡量你检测的覆盖率。 - **Cyber Kill Chain** (Lockheed Martin) — 攻击的 7 个阶段,从侦察到数据泄露。 - **NIST CSF** — 组织功能:识别、保护、检测、响应、恢复(在 v2.0 中增加了治理)。 - **Pyramid of Pain** — IoC 的层次结构,取决于你拦截它们时给攻击者造成多大的“痛苦”(哈希 = 简单;TTPs = 痛苦)。 ## 按类别划分的商业产品示例 | 类别 | 代表性产品 | | ------------------------- | ------------------------------------------------------------------------------------------------- | | **Firewall / NGFW** | Palo Alto (PAN-OS), Fortinet FortiGate, Cisco Secure Firewall, Check Point | | **WAF** | Cloudflare WAF, AWS WAF, Imperva, F5 Advanced WAF, Akamai | | **NAC** | Cisco ISE, Aruba ClearPass, Forescout | | **IDS / IPS** | Snort, Suricata, Zeek (开源);Palo Alto Threat Prevention, Cisco Firepower | | **EPP / Antivirus** | Microsoft Defender, Bitdefender, SentinelOne, CrowdStrike Falcon | | **EDR** | CrowdStrike Falcon, SentinelOne Singularity, Microsoft Defender for Endpoint, VMware Carbon Black | | **NDR** | Darktrace, Vectra AI, ExtraHop Reveal(x), Corelight | | **XDR** | Palo Alto Cortex XDR, Microsoft Defender XDR, Trend Vision One, SentinelOne Singularity | | **MDR** | CrowdStrike Falcon Complete, Arctic Wolf, Expel, Red Canary, Sophos MDR | | **SIEM** | Splunk, Microsoft Sentinel, IBM QRadar, Elastic Security, Google Chronicle | | **UEBA** | Exabeam, Securonix, Splunk UBA, Microsoft Sentinel UEBA | | **TIP / CTI** | Recorded Future, Mandiant, Anomali, ThreatConnect, MISP (开源) | | **SIRP / SOAR** | Palo Alto Cortex XSOAR, Splunk SOAR, Tines, Swimlane, IBM Resilient | | **DLP** | Microsoft Purview DLP, Symantec DLP, Forcepoint, Digital Guardian | | **CASB** | Microsoft Defender for Cloud Apps, Netskope, Zscaler, Skyhigh | | **SASE / SSE** | Zscaler, Netskope, Palo Alto Prisma Access, Cloudflare One, Cato Networks | | **CNAPP / CSPM / CWPP** | Wiz, Prisma Cloud, Microsoft Defender for Cloud, Lacework, Orca Security | | **Sandbox** | Palo Alto WildFire, Joe Sandbox, VMRay, Any.Run, Cuckoo (开源) | | **Honeypot / Deception** | Thinkst Canary, Zscaler Deception, SentinelOne Singularity Identity, T-Pot (开源) | | **ASM / EASM** | Microsoft Defender EASM, Palo Alto Cortex Xpanse, Censys, Mandiant ASM | | **VM** | Tenable (Nessus), Qualys VMDR, Rapid7 InsightVM, OpenVAS (开源) | | **IAM** | Okta, Microsoft Entra ID, Ping Identity, ForgeRock | | **PAM** | CyberArk, BeyondTrust, Delinea | | **IGA** | SailPoint, Saviynt, Microsoft Entra ID Governance |
标签:企业安全, 库, 应急响应, 网络安全, 网络资产管理, 速查表, 防御加固, 隐私保护