SIEM (Security Information Event Management)
資訊安全與事件管理,能處理不同來源的log, 能找出可疑事件,並且視覺化事件關聯。
工具
- Elasticsearch
- Logstash
- Kibana
找出潛在攻擊紀錄
相關概念
- Kill Chain: 參見打破 Kill Chain
偵查期
- 端口掃描: nmap流量, 嘗試短時間連接多個端口。 T1046
- 武器化
- 傳送
- 利用
- 安裝
- 命令與控制
- 執行目標
Log SIEM
日誌檢視相關筆記
Log SIEM
資訊安全與事件管理,能處理不同來源的log, 能找出可疑事件,並且視覺化事件關聯。