2023奇安信天眼设备 | 您所在的位置:网站首页 › 天眼查看系统病毒怎么删除 › 2023奇安信天眼设备 |
1.在天眼分析平台网络协议中sip、dip、sport、dport字段表示的含义是什么?
sip 源IP、dip 目的IP、sport 源端口、dport 目的端口 2.在天眼分析平台DNS协议中dns type字段表示的含义是?dns type表示DNS请求类型 0代表DNS请求,1代表DNS响应 3.dns_type中addr代表什么?表示该host对应的IP地址信息;可能有多个记录 4.天眼可以捕捉到cmd命令嘛?可以捕捉到远程执行的,比如攻击者远控你内网机器,执行cmd并返回结果 5.天眼告警可以显示的结果,除了成功和失败还有什么嘛?成功、失败、尝试、未知 未知:一般是告警生成错误了,可以忽略 尝试:是可能成功也可能失败, 需要全部分析 6.内网横向有哪些告警类型?cs相关告警、隧道类告警、内网段的漏洞扫描、暴力破解 内网主机对内部其他主机的攻击行为,该主机可能被黑客控制沦为跳板机,企图控制更多的内网其他主机 7.使用天眼,如何判断资产是否失陷?受害资产不断外联恶意地址,受害资产有shell连接或者隧道类的告警 8.出现受害ip为源的时候是什么情况?当网络攻击者使用IP欺骗或伪造技术时,可能会发生受害IP为源的情况 9.在天眼分析中,威胁告警检索字段中 attack sip 字段表示的含义是什么?攻击者IP 10.在天眼分析平台中,proto字段表示的含义是? 举两个邮件应用协议的例子proto表示协议,邮件应用协议有ETP POPIMAP 11.在天眼分析平台中,IOC代表什么含义、反映?IOC表示匹配成功的威胁情报 IOC反映主机或网络失陷特征信息,包括入侵工具、恶意软件和攻击者的属性 12.天眼中搜索一个日志里指定的端口?想把两个端口连接在一起查询?sport eq 80 sport eq 80 or sport eq 443 13.一个告警的目的ip是114.114.114,端口是53,这样的告警,我应该对他的ip和端口进行封禁吗?不能封禁,明显是dns服务器转发的地址和端口,需要进一步确认真实受害资产的ip信息 14.在天眼分析平台中,如何搜索源IP为A,目的IP为B的网络日志?运算符(AND)是大写还是小写?ip(A) AND dip(B) 运算符需要大写 15.在天眼分析平台中,运算符都有哪些?AND OR NOT 16.天眼分析平台中,发件人的字段是什么?from 17.天眼分析平台模糊搜索,应该怎么写查询语句?直接在日志检索模块去搜索你要输入的关键字 使用*加部分名称进行检索 18.GEO字段代表什么?代表ip对应的地理位置 19.不出网的主机通过哪种代理方式建立连接?正向代理 20天眼能捕捉到0day吗?可以,需要通过日志去分析挖掘 21.天眼里的小工具用过吗?用过,可以做一些常见编码的解码等,比如base64解码、url解码 |
今日新闻 |
推荐新闻 |
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 |