护网日志8.17

作为蓝方来到了甲方的公司,进行蓝队的护网防守,首先甲方会给你一个大致的公司网络框架,然后将IP段划分,大致的防护设备,比如CP,waf,主机防护设备等,之后便是进入指挥中心将环境给部署好,将防护规则更新,做好大致的准备工作
由于我的工作是研判,也就是确定是否是攻击行为还是公司的正常业务,与甲方协商是否需要下线业务,隔离主机,上机寻找留下来的后门,将漏洞复现,然后过滤特定行为的数据,完成信息的收集
昨晚我一共研判了2个
一个是SSH爆破这个只要是看到外网IP就直接封禁,如果是内网IP就询问行方是否是正常的业务,不予处理即可
还有一个是FSCP白名单上面的一个IP在做数据传输,还是得询问甲方是否是正常的业务,

你可能感兴趣的:(护网,安全)