护网课程day1

1.各等级工作

初级蓝队：
1.监测预警
主要会网络流量分析，会看系统日志，web服务日志，磁盘文件恢复等

中级蓝队：
主要做应急响应
有以下应急场景：
网络攻击事件
安全扫描攻击，暴力破解攻击，系统漏洞攻击，WEB漏洞攻击，拒绝服务攻击
恶意程序事件
病毒，远程木马，僵尸网络程序，挖矿程序
WEB恶意代码
Webshell后门，网页挂马，网页暗链
信息破坏事件
系统配置内容篡改信息泄露数据，信息数据泄露事件，网站内容篡改事件，数据库内容篡改事件
其他安全事件
账号被异常登录，异常网络连接

高级蓝队：
主要工作：攻击溯源反制
反制小组
蜜罐技术
取证分析
目标定位

2.护网各时间段工作

护网前干什么，风险自查与加固（基线检查），互联网暴露面评估检查（网络访问控制，日志审计，身份认证和权限）
护网时干什么
1.事件检测：设备防御，时间突发处理，流量监测等
2.应急响应：对于各种安全事件（网络攻击事件，恶意程序事件信息破坏事件等）的处理方式
护网后干什么
溯源反制

3.蓝队初级

蓝队初级：
1.基线与加固
主机系统基线与加固
1.windows系统基线与加固
账号口令，网络服务，系统日志审计，防火墙配置，文件系统，组策略，基线策略，系统文件变动监控，注册表
2.Linux系统加固
账号口令，网络服务，SSH登录日志，文件系统等
数据库极限与加固
数据库加固，弱密码检测
应用加固
1.中间件加固
IIS加固，Apache加固，Tomcat加固
2.其他应用的弱口令检测
SSH，FTP弱密码检测等

3.流量监控