随着越来越多的安全漏洞和网络欺诈事故充斥着国际新闻头条,各大企业也在积极寻找解决这种高级持久威胁、诈骗和内部攻击的方法。 传统的网络安全技术,缺乏发现和规避复杂恶意攻击的能力。...IBM解决方案通过扩展研究的范围和规模帮助客户发现隐藏的威胁,可以分析更多数据,如DNS交易、邮件、文档、社交媒体数据等。...通过分析结构化的大量数据和来自多个企业的非结构化数据,IBM 解决方案可以找到隐藏在海量数据之后的恶意活动。...信息随后向QRadar进行反馈,为闭环和持续性学习提供工具。 IBM 解决方案的结果是完整而智能的,他们甚至可以使用在之前看来根本不可能的方法收集、检测、分析、探索并实现安全报告和企业数据。...同时,该解决方案是可自定义设置的,因此你可以使用IBM解决方案里的任意产品并根据需求的增添补充性能。 翻译:灯塔大数据
你没办法知道事件名称或者规则名称到底是对应什么 ID,目前我用的办法就是先去 IBM Develop API 里面先去查询。...下面就是我在使用过程中一些小经验: 引号的使用 在 AQL 中,单引号和双引号的使用是有区别的。单引号一般可以表示字符串或者作为字段的别名,如果你的字段包含了空格,那么你必须使用单引号。...之前我有一些场景想通过 AQL 来实现,但是 IBM 的人说无法实现(此处应有吐槽),后来还是得靠自己来实现。...特定 IP 特定事件发生的时间大于特定的值 可能听起来有那么一点点绕,但这个场景还是蛮有必要的。因为经常有一些安全事件很长时间都没有及时处置,那我们如何将这些事件捞出来呢。...IBM 与日期相关的函数主要就是4个,即 LAST,START,STOP,NOW。
经常听到有朋友问,有没有比较好用的web日志安全分析工具? 首先,我们应该清楚,日志文件不但可以帮助我们溯源,找到入侵者攻击路径,而且在平常的运维中,日志也可以反应出很多的安全攻击行为。...3、GoAccess 一款可视化 Web 日志分析工具,通过Web 浏览器或者 *nix 系统下的终端程序即可访问。能为系统管理员提供快速且有价值的 HTTP 统计,并以在线可视化服务器的方式呈现。...10、IBM QRadar Qradar有一个免费的社区版本,功能上和商用版本差别不大,适合小规模日志和流量分析使用。...下载地址: https://developer.ibm.com/qradar/ce/ ? ?...团队内有不定期的技术交流,(不可描述)工具分享等活动,致力于实现“开放分享”的hack精神。 欢迎各位大佬关注^_^
经常听到有朋友问,有没有比较好用的web日志安全分析工具? 首先,我们应该清楚,日志文件不但可以帮助我们溯源,找到入侵者攻击路径,而且在平常的运维中,日志也可以反应出很多的安全攻击行为。...---- 1、360星图 一款非常好用的网站访问日志分析工具,可以有效识别Web漏洞攻击、CC攻击、恶意爬虫扫描、异常访问等行为。...3、GoAccess 一款可视化 Web 日志分析工具,通过Web 浏览器或者 *nix 系统下的终端程序即可访问。能为系统管理员提供快速且有价值的 HTTP 统计,并以在线可视化服务器的方式呈现。...10、IBM QRadar Qradar有一个免费的社区版本,功能上和商用版本差别不大,适合小规模日志和流量分析使用。...下载地址: https://developer.ibm.com/qradar/ce/ ?
IP协议是一种无连接的,不可靠的数据包协议,它并不能保证数据一定被送达,那么我们要保证数据送到就需要通过其它模块来协助实现,这里就引入的是ICMP协议。 ICMP协议字段解释 ---- ?...:https://www.ibm.com/support/knowledgecenter/ja/SS42VS_7.2.7/com.ibm.qradar.doc/c_DefAppCfg_guide_ICMP_intro.html...0x0010: 0ed7 b127 0800 cbae 472e 0001 5d71 a35c 前面20字节是IP协议头,之后就是ICMP协议头:是0800 cbae 472e 0001部分 字段...协议 内容 对应的tcpdump文字描述 0x04 ICMP消息类型 回送请求 ICMP echo request 0x00 ICMP代码 0xcbae 16位校验和 0x472e ICMP数据标志...完全理解ICMP https://www.ibm.com/support/knowledgecenter/ja/SS42VS_7.2.7/com.ibm.qradar.doc/c_DefAppCfg_guide_ICMP_intro.html
为了使用 sysmon 监控更多行为,也可以在安装 sysmon 时不添加过滤器,分析时使用事件查看器的过滤器进行筛选。 除了 sysmon,我们还可以使用功能比较强大的 SIEM 系统进行实时监控。...例如 IBM QRadar 的查询 AQL 语句为: select "SourceImage", "TargetImage" from events where eventid=10 and utf8(...API,这些 API 允许在创建进程之前替换 PE 内容。...在这一部分中,我们将演示攻击者如何利用其来躲避检测软件,并给出一些分析人员进行检测时可以参考的信息。...攻击准备:伪造计算机账户 如图所示,在获得域的完整控制权限(我们这里使用的是域管:EXAMPLE\admin01)之后,攻击者可以使用net命令创建一个假的计算机帐户(名为EXAMPLE\SERVER01
IBM Qradar AQL 查询,来发现这个事件。...包含 DNS 请求属性(类型)的 QTYPE 字段。 包含 DNS 响应属性(类型)的 RCODE 字段。...SSH 隧道连接 RDP 通过一条用 plink.exe 或者 FreeSSH 或者其他类似的工具建立起来的反向 SSH 隧道来建立一个RDP连接,这可以为攻击者提供一个伪 V** 服务,攻击者可以在产生更小的噪音和更少的痕迹的前提下...www.fireeye.com/blog/threat-research/2019/01/bypassing-network-restrictions-through-rdp-tunneling.html 2、如何通过...使用 IBM Qradar AQL 来发现这些威胁: select sourceip, sourceport, destinationip, destinationport from events
下面是一个来自 IBM developerWorks 的 API 样例,尝试请求该 API,你可以看到该集合是如何支持不同的输出格式请求的。 清单 3....IBM developerWorks 的文件服务标签云的 API REST API 请求,要求返回 XML 格式数据: GET https://www.ibm.com/developerworks...通过减少 HTTP 响应内容,避免不必要的 HTTP 连接等方式,达到提高 REST API 使用效率的目的。 HTTP 头中,有多个字段可以用于缓存处理。比较常用的有缓存控制和条件请求。...HTTP 头中有“Cache-control”字段来控制如何使用缓存,常见的取值有 private、no-cache、max-age、must-revalidate 等。...另外,也可以通过“Expires”字段来指定内容过期时间,在此时间前的请求都不会导致后台程序重新请求数据。 下图展示了 max-age 是如何工作的。 图 2. 缓存控制工作方式的简单范例 ?
使用 ORDS,您可以进行聚合和连接,但这是通过创建您可以调用的自定义函数来完成的。但是应用程序必须知道这些函数做了什么才能理解如何解释结果。没有元数据或标准行为定义可以告诉应用程序会发生什么。...GraphQL 通过强制客户端准确指定他们需要哪些字段来解决 API 版本控制和维护问题。API 开发人员可以主动联系已知的字段使用者,以迁移已弃用的字段。响应包括有关哪些字段已弃用的信息。...例子 为了直观地说明使用这些 API 的差异,以下两个代码示例展示了如何在 GraphQL 和 OData 中执行“排序依据”。...它功能强大,但使用它意味着您的应用程序与特定 GraphQL 服务的实现方式紧密耦合。没有办法笼统地描述它是如何工作的。...如果您想了解如何嵌入我们的混合技术以使用 OData 通过 REST 公开数据,请立即与我们的一位数据连接专家交谈。
在创建API时,数据的过滤和查询是非常重要的,因此Django REST Framework提供了多种过滤器来帮助您过滤和查询API数据。什么是Django REST Framework的过滤器?...Django REST Framework的过滤器是一种用于过滤和查询API数据的工具。过滤器允许您在API视图中指定查询参数,以获取特定的数据。...通过使用过滤器,您可以从API数据集中选择数据的子集,以便您可以更快地检索所需的信息。...DjangoFilterBackend过滤器后端,并指定了要过滤的字段。...这将允许我们根据特定字段的值来获取数据。
Django REST Framework (DRF) 是一个开源的 Web 框架,它建立在 Django 上,可以帮助你轻松地构建 RESTful API。...使用内置的过滤器DRF 内置了很多过滤器,其中一些是常用的过滤器:ExactFilter:使用精确匹配过滤,可以用于过滤整数、布尔值、字符串等类型的字段;CharFilter:使用模糊匹配过滤,可以用于过滤字符串类型的字段...现在,我们来看一个完整的例子,它展示了如何使用 DRF 的过滤器来获取过滤后的数据。...例如,下面的代码展示了如何编写一个自定义的过滤器,它将过滤掉所有价格低于 10 的书籍:from rest_framework import filtersclass PriceFilterBackend...我们还展示了如何在视图集合中使用这些过滤器,并提供了一些例子来帮助你更好地理解它们的用法。
防御者也可以使用 BloodHound 去识别和清理这些容易被攻击者利用的攻击路线。红队和蓝队都可以借助 BloodHound 更轻松地深入了解 AD 域环境中的权限关系。...在本文中,我们将向您展示如何在客户端和域控端检测 Sharphound 客户端特征: 1、与 LDAP\LDAPS (389 端口和 636 端口)和 SMB ( 445 端口) TCP 端口的多个连接...”和 ”all”扫描模式) 2、与命名管道 srvsvc 以及共享相对目标名中包含 ”Groups.xml”和 ”GpTmpl.inf”访问的连接 下面是我们观察到的使用 Sharphound 的 ”all...也可以通过使用 smbexec/wmiexec 方法执行 vssadmin 来转储 NTDS.dit 它被复制到临时目录并远程解析。...”system32*.tmp”作为一个特征,然后通过查看 ”winreg”和 ”svcctl”的来源 IP、端口和用户来手动验证是否是恶意行为 IBM Qradar 搜索语句: select "ShareName
使用缓存 Elasticsearch中有两种类型的缓存:查询缓存和过滤器缓存。查询缓存为相同的查询结果提供快速的响应,而过滤器缓存则会缓存过滤器结果,以便在后续搜索中快速使用。...结论 本文介绍了如何使用访问控制、加密和身份验证等技术来提高Elasticsearch的安全性。这些技术可以确保Elasticsearch集群和数据的安全性,并保护其免受未经授权的访问和攻击。...本文将介绍如何使用REST API和各种客户端库来将Elasticsearch集成到应用程序中。...REST API Elasticsearch提供了REST API,以便应用程序可以通过HTTP协议与Elasticsearch进行交互。...结论 本文介绍了如何使用REST API和各种语言的客户端库将Elasticsearch集成到应用程序中。这些方法可以使应用程序更有效地与Elasticsearch交互,并实现数据搜索和分析等功能。
威胁狩猎#1 寻找 RDP 劫持痕迹 远程桌面是攻击者最喜欢的访问方式之一,因为它允许仅使用鼠标和键盘来发现系统以及相邻主机(更少的足迹,不需要特殊的命令与实用程序)。...对于名称为用户SID(安全标识符)的每个密钥,PsLoggedOn 会查找相应的用户名并显示它。要确定谁通过资源共享登录到计算机,PsLoggedOn 使用 NetSessionEnum API。...要检测 PsLoggedon ,我们将使用以下内容: 1、远程注册表访问的痕迹(通过 IPC $ SMB 共享暴露给 winreg 命名管道的连接) 2、NetSessionEnum API 的跟踪(通过...(对 Python 或 PowerShell 中的其他 PSEXEC 实现无效) 建议的检测方法依赖于事件 ID 5145“网络文件共享访问”,它记录远程访问 PSEXECSVC 命名管道的相对目标名称字段跟踪...IBM Qradar hunting AQL: select username, "SharePath", "TargetName" from events where eventid=5145 and
待售 BOT 数据:可选择使用新的“机器人价格”条件触发基于机器人价格的警报,并从威胁页面轻松发起机器人购买请求 “IntSights 让我们能够以非常易于使用的方式更详细地查看我们的威胁。”...这有助于客户优先考虑影响其组织的特定活动中使用的漏洞,以便他们可以专注于立即更新和修补最相关的 CVE。...· IntelliFind:使用这个独有的暗网搜索工具,MSSP 可以访问高级调查功能,并且可以通过一次登录查看和管理查询并触发多个租户的警报。...今年早些时候推出的应用程序以促进从 IntSights 平台导入优先 IOC 的现有功能为基础,使客户能够: · 通过将环境中的指标与 IntSights 高严重性 IOC 相关联,识别网络上正在进行的攻击...我们用于 IBM QRadar 的本机双向应用程序允许客户在其 QRadar 环境中利用 IntSights TIP 的强大扩充和调查功能。
ES Java Client ---- Java Low Level REST Client:低级别的 REST 客户端,通过 http 与集群交互,用户需自己编组请求 JSON 串,及解析响应 JSON...Level REST Client:高级别的 REST 客户端,基于低级别的 REST 客户端,增加了编组请求、解析响应等相关 api,High Level REST Client 中的操作 API...通过 dynamic 字段来指定 mapping 的动态效果,dynamic 字段可以有如下选项: 选项 有新增字段的文档索引时 true(默认值) mapping 会被更新 false...多重字段 当我们需要对一个字段进行多种不同方式的索引时,可以使用 fields 多重字段定义。...使用场景,比如书籍,content 字段会保存几百万个字符,在几百万字符中提取 name、author 是很麻烦的事情,所以会考虑将 content 字段通过 store 存储。
上篇文章向读者介绍了Elasticsearch中修改数据的操作,使用了Elasticsearch提供的一整套强大的REST API,本文继续来看通过这一套API如何完成文档的基本操作。...搜索API 整体来说,搜索条件既可以放在URL中,也可以放在REST请求体中,一般来说建议采用第二种方案,但是为了知识的完整性,这里对两种方案都予以介绍。...JSON请求体来描述查询条件,接下来向读者详细介绍这个JSON格式的查询条件。...在前面的小节中,我们跳过了搜索结果中的_score字段,这个字段用来描述搜索结果的匹配度,得分越高,文档匹配度越高,得分越低,文档的匹配度越低。..."gte": 20000, "lte": 30000 } } } } } } ' 在查询时,究竟是使用过滤器还是使用查询
,获取不到则使用DRF的默认配置: ......User 实例 - `request.auth` 是 None 未经身份验证的请求会返回`403`配置全局过滤器 REST_FRAMEWORK = {...部分接口的路由单独拎出来,比如以/api/开头的路由到DRF提供的接口中: [根目录下的urls.py] 而在具体app的路由中,直接使用DRF的router模块,并将视图视图注册到路由中即可: [app...中的urls.py] 注册完以后,我们就可以通过:/api/demo/开头的地址访问接口了 [demo urls] 三、总结 到这里,你可能已经发现,这个东西的配置成本还是有的。...前面我们主要讲了如何安装DRF,接着介绍了如何配置DRF,并将自己项目中的经验总结在了里面,希望能对后面的DRFers有所帮助。
结果封装 说到结果封装,不得不提一下restful api,我们经常说rest风格的url更加容易理解和统一,其实不仅仅包括url的设计上需要动词+宾语的结构,请求的状态码也需要明确,而请求结果通常也是一串...前端的校验我们可以使用一些类似于jQuery Validate等js插件实现,那么后端我们可以使用什么来做校验呢如果表单需要校验字段比较少,我建议直接使用if条件判断一下就可以了。...当字段比较多时候我们可以使用Hibernate validatior框架。 我们使用springboot框架作为基础,那么就已经自动集成了Hibernate validatior。...单点登录与shiro集成实现自动登录的过滤器 这样,我们就保证了过滤器的顺序,只要保证了顺序之后,先通过xxl的拦截器,然后获取到了用户信息之后进入ssoFilter。...更高级一下的我还可以这样来: 总之呀,学不动!!!阿弥陀佛! 预防攻击 好了,项目基本框架搭建好了之后,还有一步别忘记,预防攻击,不可忽视的安全隐患预防!
'uploads': '20/day' } } 排序 排序就是在对api进行请求的时候加上ordering参数,就可以在请求的返回结果中对某一个字段进行排序。...ordering=title 过滤器 所谓过滤其实就是在API请求的时候加上一些参数,限制返回的结果,比如只查询id为1的书本信息,或者查询id大于2小于5的书本信息。...配置过滤器 ''' class Meta: model = models.BookInfo # 指定作用的数据库模型类 # 指定需要为哪些字段设置过滤器...到这里就可以使用过滤器了。...title__startswith=天 过滤器的高级使用基本就是这样 分页 分页其实就是把数据库中的数据分批返回给请求者,而不是一次性把所有的数据都返回给请求者,这样容易出问题,比如数据库中商品表有一千万条数据
云服务器
ICP备案
云直播
实时音视频
即时通信 IM
