摘要: Splunk eval命令用于对搜索结果进行计算和转换,以生成新的字段或修改现有字段的值。eval命令在Splunk搜索语言中非常常用,可以进行各种数学运算、字符串操作、条件判断等。 eval命令的基本语法如下: ... | eval <新字段名>=<表达式>其中,<新字段名>是你想要生成的新字段的 阅读全文
posted @ 2024-01-13 15:06 安全泰哥 阅读(322) 评论(0) 推荐(0) 编辑
摘要: 威胁情报分类 威胁情报的生命周期 获取 生产 消费 阅读全文
posted @ 2024-01-11 14:03 安全泰哥 阅读(14) 评论(0) 推荐(0) 编辑
摘要: 当您听到同事、系统管理员或其他任何人开始谈论 Active Directory Red Forest 级别时,他们实际上是在识别“增强的安全管理环境”(也称为 ESAE)的行话。ESAE 利用 先进的技术和推荐的做法,为管理环境和工作站提供增强的安全保护。 增强的安全管理环境 (ESAE) 产品旨在 阅读全文
posted @ 2024-01-11 13:57 安全泰哥 阅读(38) 评论(0) 推荐(0) 编辑
摘要: 邮件头部分析工具: Message Header Analyzer (mha.azurewebsites.net) Email Header Analyzer, RFC822 Parser - MxToolbox https://toolbox.googleapps.com/apps/message 阅读全文
posted @ 2024-01-11 13:49 安全泰哥 阅读(200) 评论(0) 推荐(0) 编辑
摘要: 基本防护 1.发件的IP和domian的信誉值 2.DMARC的验证 防止外部伪造 3. LDAP验证,内部邮件的是否存在 晋级防护 邮件的病毒扫描 AV 邮件的反垃圾AS 邮件的文件的内容附件的防护 AMP 高级防护 FED 邮件伪造防护 cisco ESA的功能特点 AS Filtering C 阅读全文
posted @ 2024-01-11 10:03 安全泰哥 阅读(32) 评论(0) 推荐(0) 编辑
摘要: 如何根据邮件样本分析是否为容易软件 发件人身份: 检查发件人的电子邮件地址,看它是否来自一个可信赖的源。有时,恶意邮件会伪造看似合法的电子邮件地址。 检查邮件头部信息: 邮件头部信息包含了关于邮件路径和来源的详细信息。通过检查这些信息,可以发现邮件是否被伪造。 邮件内容: 恶意邮件通常包含诱导性的语 阅读全文
posted @ 2024-01-11 09:22 安全泰哥 阅读(9) 评论(0) 推荐(0) 编辑
摘要: 在 Kusto Query Language (KQL) 中表示 Windows 文件路径时,需要特别注意路径分隔符和转义字符。Windows 文件系统通常使用反斜杠 \ 作为路径分隔符,但在 KQL 查询中,反斜杠是一个特殊字符,用作转义字符。因此,当你在 KQL 查询中写入 Windows 路径 阅读全文
posted @ 2024-01-08 17:14 安全泰哥 阅读(78) 评论(0) 推荐(0) 编辑
摘要: 查找程序的 网络通信情况 DeviceNetworkEvents | where Timestamp > ago(30d) | where InitiatingProcessFileName == "example.exe" | project Timestamp, DeviceName, Init 阅读全文
posted @ 2024-01-08 17:09 安全泰哥 阅读(8) 评论(0) 推荐(0) 编辑
摘要: ​分享几个威胁情报平台 - SecPulse.COM | 安全脉搏 01、国内威胁情报平台 1、微步在线 https://x.threatbook.cn/ 2、天际友盟RedQueen安全智能服务平台 https://redqueen.tj-un.com/ 3、360威胁情报中心 https://t 阅读全文
posted @ 2024-01-08 09:19 安全泰哥 阅读(84) 评论(0) 推荐(0) 编辑
摘要: Splunk Fundamentals for Users and Power Users Demystifying the Splunk CIM (youtube.com) 阅读全文
posted @ 2024-01-04 19:30 安全泰哥 阅读(42) 评论(0) 推荐(0) 编辑