--- title: 2023 企業藍隊威脅實務探討(台中班)筆記 tags: 資訊安全 --- # 2023 企業藍隊威脅實務探討(台中班)筆記 By 蓉爸 RungBa Created: 2023-05-24 Revised: 2023-05-25 --- ## 一、基本籃隊工具 ### 1. 專有名詞解說 EDR（Endpoint Detection and Response，端點偵測回應） ---- ### 2. MS Windows 常用工具 EDR（Endpoint Detection and Response，端點偵測回應） [THOR Lite](https://www.nextron-systems.com/thor-lite/) [analyzeMFT](https://github.com/dkovar/analyzeMFT) [下載 WinPrefetchView.exe](https://www.nirsoft.net/utils/win_prefetch_view.html) - [prefetch 背景知識簡略整理](https://hackmd.io/@Rance/Hy3KRm1CG?type=view) [Hoarder](https://github.com/DFIRKuiper/Hoarder) Sysinternals Suite https://learn.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite  Process Explorer (Procexp64.exe)   Autoruns (Autoruns64.exe)    TCPview (tcpview64.exe)   --- ## Ref: 專有名詞解說 :::success - **惡意軟體（Malware）：** 指故意設計來損害、竊取數據或破壞電腦系統的軟體。 - **入侵偵測系統（Intrusion Detection System，IDS）：** 監控網絡流量和系統活動，檢測是否有未經授權的訪問或異常活動。 - **入侵防禦系統（Intrusion Prevention System，IPS）：** 在檢測到異常活動時，主動阻止入侵嘗試，保護系統免受攻擊。 - **防火牆（Firewall）：** 一種用於監控和控制網絡流量的安全系統，可阻止不必要的數據流進入或離開系統。 - **漏洞（Vulnerability）：** 系統或應用程序中的安全弱點，可能被攻擊者利用來進行攻擊。 - **滲透測試（Penetration Testing）：** 也稱為測試攻擊，專門的測試人員模擬攻擊，以評估系統的弱點和安全性。 - **社交工程（Social Engineering）：** 使用心理學和誘惑等手段，誘使用戶透露個人信息或進行安全漏洞操作。 - **標的型攻擊（Spear Phishing）：** 針對特定個人或組織的釣魚攻擊，攻擊者通常以偽造的信任來源進行。 - **釣魚（Phishing）：** 通過偽冒合法機構的電子郵件或網站，誘導用戶提供個人信息。 - **勒索軟體（Ransomware）：** 加密受害者的數據，並要求贖金以解密數據的一種惡意軟體。 - **零時漏洞（Zero-day Vulnerability）：** 已知但尚未修補的漏洞，攻擊者可能利用這些漏洞進行攻擊。 - **資訊安全政策（Information Security Policy）：** 確定組織資訊安全實踐和準則的文件。 - **多重身份驗證（Multi-factor Authentication，MFA）：** 通過結合多個身份驗證方法來增強帳戶安全性。 - **密碼破解（Password Cracking）：** 使用暴力破解或其他技術破解帳戶或系統的密碼。 - **加密（Encryption）：** 將數據轉換為密文，以防止未經授權的訪問者查看敏感信息。 - **公開金鑰基礎設施（Public Key Infrastructure，PKI）：** 提供加密和數位簽名服務的框架。 - **防毒軟體（Antivirus Software）：** 用於檢測和清除電腦中惡意軟體的程序。 - **內部威脅（Insider Threat）：** 來自組織內部的員工、合作夥伴或其他內部人員的安全風險。 - **漏洞管理（Vulnerability Management）：** 管理和處理系統中的漏洞，確保它們得到及時修補。 - **安全事件和事件管理（Security Incident and Event Management，SIEM）：** 收集、分析和回應安全事件和數據的技術。 - **DoS攻擊（Denial of Service Attack）：** 通過洪水式攻擊來使網絡服務無法使用。 - **DDoS攻擊（Distributed Denial of Service Attack）：** 使用多個計算機來進行更強大的DoS攻擊。 - **安全審計（Security Audit）：** 評估系統、網絡或應用程序的安全性和合規性。 - **漏洞掃描（Vulnerability Scanning）：** 使用自動工具掃描系統以查找已知的漏洞。 - **網絡攻擊（Network Attack）：** 針對網絡基礎設施的惡意操作，可能導致數據洩露或服務中斷。 - **物聯網安全（IoT Security）：** 專注於保護物聯網設備和網絡免受攻擊的實踐。 - **遠程存取（Remote Access）：** 允許用戶通過網絡遠程訪問計算機系統或資源。 - **內容過濾（Content Filtering）：** 監視和控制通過網絡的數據流量，以阻止不適當或有害的內容。 - **身份認證（Authentication）：** 通過驗證用戶的身份，確保只有授權用戶可以訪問資源。 - **授權（Authorization）：** 確定授予用戶訪問特定資源或功能的權限。 - **僞基站攻擊（Stingray Attack）：** 使用僞造的移動通信基站，監視和干擾手機通信。 - **蜜罐（Honeypot）：** 模擬的弱點或系統，用於吸引攻擊者，以便學習和監視他們的行為。 - **僞造DNS（DNS Spoofing）：** 操縱DNS解析以將用戶導向惡意網站或攻擊者控制的站點。 - **漏洞利用（Exploit）：** 利用系統或應用程序中的漏洞進行攻擊的代碼或技術。 - **風險評估（Risk Assessment）：** 評估組織的資訊安全風險，以確定適當的防禦措施。 - **網站應用程式防火牆（Web Application Firewall，WAF）：** 保護網站應用程序免受各種攻擊的防火牆。 - **數位取證（Digital Forensics）：** 使用科學方法來收集、分析和呈現電子證據。 - **防護術語（Honeynet）：** 一個包含多個蜜罐的網絡，用於監視和學習攻擊者的行為。 - **VPN（Virtual Private Network）：** 通過加密和隧道技術來建立安全的遠程連接。 - **安全培訓與教育（Security Training and Education）：** 為用戶和員工提供資訊安全知識和最佳實踐。 - **資訊隱私（Information Privacy）：** 關注個人數據的保護和合規性，確保不被未經授權的訪問。 - **生物識別技術（Biometric Technology）：** 使用生物特徵（如指紋、虹膜等）來驗證身份。 - **安全漏洞管理（Security Vulnerability Management）：** 跟踪和管理系統中的漏洞，以確保及時修補。 - **端點安全（Endpoint Security）：** 保護終端設備免受恶意软件和攻擊的技術。 - **防範與應對（Prevention and Response）：** 采取措施防範攻擊，同時準備應對和處理安全事件。 - **安全策略（Security Policy）：** 指定組織在資訊安全方面的政策和準則。 - **APT攻擊（Advanced Persistent Threat Attack）：** 長期、有組織的攻擊，旨在長時間地持續滲透受害組織。 - **災難恢復計劃（Disaster Recovery Plan）：** 定義在災難情況下恢復業務運營的步驟和程序。 - **風險管理（Risk Management）：** 評估、控制和減輕組織面臨的各種風險。 - **物理安全（Physical Security）：** 保護組織的物理設施和資源免受未經授權的訪問。 :::