内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

威尼斯人05520永利王者荣耀周瑜重制后攻略及手机模拟大师运行教

> 资讯 >

Splunk分享妙招应付 WannaCry澳门威尼斯人官网

2018-02-06 16:38 出处:澳门威尼斯人官网 人气:   评论(0

  美国圣何塞儿童探索博物馆成功抵御 WannaCry,这得益于该博物馆一直在使用Splunk。据该博物馆的首席工程师 Gregg Daly 介绍:Splunk 的视图非常易于使用,适用于博物馆所有的数据、设备和程序,让博物馆的技术人员能够快速解决来自WannaCry的。

  • 确定薄弱环节,如可行,将网络划分为易受但能够控制的各个分区,直到它们达到了 100% 补丁合规

  • 企业可内部网段,以查找不正常的 SMB v1 连接( TCP/139,TCP/445 )所进行的扫描活动等

  • 早在 2017 年 4 月 18 号,就可以使用 IDS 规则来检测 MS17-010 漏洞。企业可以将这些IDS 警报放入 Splunk ,并将其与关键资产信息相关联。

  • 大多数 Windows 软件尝试通过调用 vssadmin服务来删除自动备份。企业可通过 Sysmon 和通用转发器功能来端点设备上 vssadmin 服务的不正常举动,并可以手动或者通过自适应响应功能自动地应对此类行为。尽早捕捉此类行为能够防止进一步的损害。

  • 软件通常会放弃系统中异常的可执行文件。WannaCry 使用洋葱由器( TOR )可执行文件实现匿名命令和控制的通信。企业可以使用 Splunk 通用转发器功能来端点设备,以便发现异常的可执行文件进行异常的网络通信并作出反应。

  • 软件几乎总是有独特的文件扩展名,这可以用作早期检测的标志。企业可设置金丝雀笼,或者找到最有可能成为被目标机器的子集,Splunk分享妙招然后使用 Splunk 通用转发器或者通过互联数据这些扩展名的生成。可利用 Splunk 查找功能来获取生成的新扩展名的最新情报。

  检测软件的关键是尽早找到它,并迅速遏制它。如果发现 WannaCry 对 C2 架构有异常的网络活动,那么理论上可以使用自适应响应功能或者手动进程来这一通信活动,使软件无法正确执行,从而不会带来。

  目前的 WannaCry 变体包括在自和加密例程之前运行的 kill switch 进程。当WannaCry 在主机上第一次执行时,它会尝试建立与 的连接。不会下载辅助文件,恶意软件只是尝试连接,如果有的话,退出程序。

  这意味着,如果域被,连接失败,那么程序将执行软件组件。(请注意,这个域名已经被注册锁住,这使得 MalwareTech 能够监测并感染。)

  企业可能想在本地实施同样的举措。通过为这一域建立响应策略区( RPZ,Response Policy Zone)并将其重定向到内部非生产 Web 服务,可以在执行 kill switch 进程时恶意软件,从而消除。通过 Splunking 日志分析软件对这些网络服务器日志进行分析,客户将获得任何尝试进行感染的实时和,进行调查,分析根本原因,而且不会受到数据性的影响。

  早期迹象表明,应付 WannaCryWannaCry 的框架在本质上可能是模块化的,这意味着 WannaCry 作者或者模仿者可以通过不同的有效载体实现自恶意软件的跟随,从而达到不同的效果。与(运输车辆)有些相似的是,它们携带的是可以互换的弹头。由于这种风险的流动特性,企业应能够敏捷的自动应对,一直保持高度,这常重要的。

  针对 WannaCry 这类,针对检测和预防以及取证分析的最佳实践方法展开教育显得比以往更为重要。Splunk是解决这类问题的专家,可提供专家指南和材料,专门帮助检测和软件。

威尼斯人05520永利,澳门威尼斯人官网,威尼斯人网上娱乐提供最新的体育新闻。是一家上市十年之久的老品牌娱乐网站,打造专业的线上娱乐城和移动端游戏,返水高,提现速度快。
分享给小伙伴们:
本文标签: 重运行例程

相关文章

评论

发表评论愿您的每句评论,都能给大家的生活添色彩,带来共鸣,带来思索,带来快乐。

签名: 验证码: 点击我更换图片

评论列表

    Copyright © 2015-2017 澳门威尼斯人官网 版权所有 网站地图