代网站备案费用,html网站免费模板下载,最简单的企业简介,ppt课件免费下载的网站免责声明
学习视频来自B 站up主泷羽sec#xff0c;如涉及侵权马上删除文章。
笔记的只是方便各位师傅学习知识#xff0c;以下代码、网站只涉及学习内容#xff0c;其他的都与本人无关#xff0c;切莫逾越法律红线#xff0c;否则后果自负。
企业网络架构
企业技术和信…免责声明
学习视频来自B 站up主泷羽sec如涉及侵权马上删除文章。
笔记的只是方便各位师傅学习知识以下代码、网站只涉及学习内容其他的都与本人无关切莫逾越法律红线否则后果自负。
企业网络架构
企业技术和信息团队的管理架构因企业的规模、行业特性和业务需求而异但通常遵循一定的框架和原则。
高层管理
CIO首席信息官 负责企业信息系统的战略规划、管理和优化确保信息技术与企业战略保持一致。
CTO首席技术官 负责运营技术的整体方向包括技术创新、研发、技术选型等。
IT管理
中央系统 集中管理企业内的所有IT资源包括软件、硬件和数据。
自带设备BYOD 员工自带移动设备如手机、平板电脑接入企业网络需要制定相应的安全策略和管理规定。
影子IT 员工可能在企业内部搭建的小网络或使用的未经授权的IT设备和软件这增加了企业的安全风险需要加以管理和控制。
中央技术团队
客户服务团队 提供技术支持和服务包括工作站、笔记本的维护和服务台支持。
基础设施团队 负责网络、服务器机群的规划、部署和维护。
数据库管理团队 负责数据库存储、备份和恢复确保数据的完整性和安全性。
技术团队 通常由项目驱动负责采购系统、维护和建立技术运营团队。根据信息技术基础设施库ITIL进行日常操作和管理。
安全部门
由CISO首席信息安全官领导负责企业整体的信息安全策略、规划和管理。安全部门需要向CIO、CTO、CFO首席财务官和CRO首席风险官报告确保信息安全与企业战略、财务和风险管理保持一致。
企业管理技术
信息安全管理成熟度模型ISM3 描述了企业安全运行和管理流程的成熟度等级为企业提供了改进信息安全管理的指导。
安全职能 包含战略、战术和运营安全所有方面。由CISO负责管理运营确保企业信息安全策略的有效实施和持续改进。
安全团队成员 应了解企业文化、组织和关键人员以及推动业务成功的关键流程。这有助于安全团队在企业内部树立积极形象提高信息安全意识和管理水平。
典型企业网络分区
企业网络通常划分为不同的安全区域以控制区域之间的访问权限。划分安全区可以防御外部和内部攻击。
DMZ非军事区 隔离内部与外部系统提供安全的访问通道。
蜜罐 引诱和分析入侵者收集攻击信息和行为模式。
代理 对外提供有限的服务保护内部网络免受外部攻击。
VPN 员工与合作商通过VPN连接内网确保远程访问的安全性和保密性。
核心网络 通常物理分离、冗余设计确保网络的稳定性和可靠性。
内部网络 包括有线、无线和VPN接入方式提供全面的网络覆盖和接入服务。
安管区 管理日志、告警和事件提供实时的安全监控和响应能力。
模糊的边界
随着云计算和SaaS服务的普及传统网络结构逐渐减少越来越多地在云中部署基础架构或使用SaaS服务。
用户从企业工作站登录到云或SaaS服务需要企业提供身份凭据同步机制甚至SSO单点登录解决方案。
云服务可能涉及在本地运行的硬件例如Azure AD Connect系统等。
数据通过内部和外部服务进行管理例如Oracle数据集成器等。
工作负载可以通过Oracle服务总线或戴尔云平台等跨混合环境共享实现资源的灵活配置和优化利用。
外部攻击面
收集开源情报后绘制网络范围内全部节点关闭无用节点减少攻击面。
使用nmap等工具进行网络扫描例如nmap -Sn subnet/24来发现网络中的活跃主机。
重点关注开启了SSH服务的未加固设备及时进行加固和修复。
使用nmap等工具进行服务探测和版本识别例如nmap -PS -sV ip-address来发现目标主机上开放的服务和版本信息。
测试漏洞入口大型网络主机和应用程序很容易缺少补丁或配置存在漏洞。使用漏扫软件如Nessus等验证漏洞存在性并及时进行修复。
使用searchsploit等工具搜索相关漏洞利用脚本例如searchsploit 来查找针对特定服务和版本的漏洞利用脚本。这有助于安全团队及时了解和应对潜在的威胁和漏洞。
身份管理
身份管理是确保企业信息安全的关键环节它涉及到对系统中所有用户、设备和服务身份的识别、验证和管理。以下是一些关于身份管理的关键点和工具
识别Windows典型应用
在Windows环境中常见的应用和服务包括Microsoft Exchange邮件服务器、SharePoint文档协作平台和Active Directory目录服务。要识别这些应用和服务可以使用网络扫描工具如sudo nmap -PS -sV somesystem.com来探测目标系统上开放的服务和端口。
识别Linux典型应用
在Linux环境中OpenSSH安全壳协议用于远程登录和管理Samba则用于文件和打印共享。同样可以使用网络扫描工具来识别这些服务。
识别WEB服务
企业应用或边界设备上的WEB服务也是身份管理的重要部分。可以使用whatweb http://someweb.org等工具来识别WEB服务的类型、版本和配置信息。
识别客户端设备
在内网环境中客户端设备的身份管理同样重要。由于管理员的疏忽或配置不当终端设备可能会暴露在网络中。因此需要定期扫描和识别内网中的客户端设备以确保它们符合企业的安全策略。
身份和访问管理
身份以及特权和访问权管理是企业安全的核心。基本工作站和服务器通常维护自己的身份存储包括用户账号和服务账号。为了确保系统的安全性普通用户不能执行系统级配置管理命令而需要使用sudo权限或以管理员身份运行。
目录服务
LDAP轻量级目录访问协议是一种用于访问目录信息的协议它广泛应用于ADActive Directory和OpenLDAP等目录服务中。通过域集中管理可以实现资源的集中存储和集中管理包括组策略的应用和更新。
企业数据存储
随着数据分析的兴起和监管要求的加强企业需要集中存储和管理大量数据。常见的存储方案包括SAN存储区域网络和NAS网络附加存储。SAN由高速网络连接多个存储设备组成提供高性能的数据存储和访问能力而NAS则是单个设备拥有大量存储通过本地网络供服务器和工作站访问。
此外企业还可以使用串行局域网SoL协议使串行数据基于HTTPS传输以提高数据传输的安全性和可靠性。
企业虚拟化平台
虚拟化平台是企业数据存储和管理的重要工具之一。常见的虚拟化平台包括VMware的vSphere和vCenter、Proxmox等。这些平台可以实现资源的动态分配和优化利用提高系统的灵活性和可扩展性。
数据湖
数据湖是一个保存大量不同形式数据的大型存储库结合数据分析可以为企业带来额外价值。Hadoop是企业中常见的数据湖解决方案之一而另一种本地解决方案是DataBricks。此外还有基于云的大数据解决方案如Cloudera、Google BigQuery、Oracle BigData、Amazon EMR、Azure Data Lake Storage和Azure HDInsight基于云的Hadoop等。
围绕数据湖有一个完整的技术生态提供数据摄取管道和数据分析服务。然而数据湖也面临着安全风险如Hadoop的YARN服务配置错误可能导致恶意HTTP请求攻击并获得系统命令行shell。因此需要加强对数据湖的安全管理和监控。
企业数据库
企业数据库是存储和管理业务数据的重要工具。常见的SQL数据库包括Oracle SQL、Microsoft SQL Server和MySQL等而嵌入式SQL数据库则包括MariaDB、PostgreSQL和SQLite等。此外还有非SQL数据库如MongoDB、Redis、Azure CosmosDB和AWS DynamoDB等它们提供了不同的数据存储和查询方式以满足企业的多样化需求。
传统存储形式
传统存储形式中共享驱动器是一种常见的资源共享方式它允许用户通过网络协议如SMB/CIFS访问远程服务器上的文件和文件夹。使用smbclient命令行工具可以列出远程服务器上的共享资源以及从共享资源中下载文件。例如使用smbclient -L server -U user命令可以列出指定服务器上的共享资源而smbclient \\\\someserver\\test -U user则可以连接到名为test的共享资源并使用get命令下载文件。
在Windows系统中还存在一些默认的共享资源如C所有驱动器的默认共享、ADMIN管理共享和IPC$管道用于与其他计算机互操作的特殊连接器。这些默认共享通常用于系统管理和维护任务。
SOC管理流程
SOCSecurity Operations Center安全运营中心是企业信息安全计划的重要组成部分它负责监控、分析和响应网络中的安全事件。为了将SOC纳入企业的整体信息安全管理体系需要了解SOC如何适应ISMSInformation Security Management System信息安全管理体系。
ISO27001标准和NIST网络安全框架是指导企业建立运营安全程序的两个重要标准。ISO27001标准提供了一种基于控制方法的审计和认证框架而NIST网络安全框架则更注重预防和应对网络攻击包括识别、保护、检测、响应和恢复五个阶段。然而这些标准并没有具体提出建立SOC的要求因此每个企业安全运营的组织方法都不尽相同。
信息安全生命周期通常包括四个阶段安全策略、能力设计、实施和运营。戴明环PDCA是信息安全生命周期的早期表现它包括计划、做、检查和行动四个步骤。而SABSA框架则对信息安全生命周期进行了改进将其划分为战略规划、设计、实施和管理测量四个阶段。
从渗透测试的角度来看掌握SOC的日常操作活动是为了避免被检测出来而从防御者的角度来看掌握SOC完整的生命周期视图可以确保其有效性。SOC的目标是通过监控和事件响应为基础设施和操作提供安全保障。
SOC通常分为不同的层级每个层级负责不同的任务。例如
L1提供监视告警、分类和解决小问题。
L2提供对日常事件的分析、遏制和解决。
L3负责损失控制、深入调查和取证分析等IRIncident Response事件响应事件。
L4安全管理负责日常、非事件相关的程序如开设账户、访问授权审查、定期安全报告和其他主动安全程序。网络杀伤链
网络杀伤链模型描述了网络攻击的七个阶段这些阶段共同构成了攻击者从信息收集到实现攻击目的的完整过程。以下是网络杀伤链的详细阶段
侦察Reconnaissance 攻击者对目标进行信息收集和探测了解目标的网络架构、系统配置、潜在漏洞以及用户活动等相关情况。这一阶段旨在为后续攻击做准备。
武器化Weaponization 根据侦察所获取的信息攻击者将恶意软件或攻击工具进行定制和包装使其能够利用目标系统的特定漏洞。这一阶段将普通的恶意软件或工具转化为具有攻击性的“武器”。
投送Delivery 将经过武器化处理的恶意软件或攻击工具投送到目标系统或网络中。常见的投送方式包括通过电子邮件附件、恶意链接、受感染的移动存储设备等。
利用Exploitation 一旦投送成功恶意软件会利用目标系统存在的漏洞来触发并执行恶意代码从而获取对目标系统的初步访问权限或控制权。
安装Installation 在成功利用漏洞进入目标系统后攻击者会进一步在目标系统内安装额外的恶意软件组件如后门程序、远程控制工具等。这些组件允许攻击者长期、稳定地控制目标系统。
指挥与控制Command Control 安装在目标系统内的恶意软件会与攻击者所控制的外部服务器建立连接。这一连接允许攻击者远程对目标系统下达指令、获取数据以及进行进一步的操控。
行动Action 这是网络攻击的最后阶段。攻击者通过已经建立的指挥与控制通道在目标系统上执行其预期的恶意活动如窃取敏感信息、篡改数据、发起拒绝服务攻击等。这些活动旨在达成攻击者的目的。
日志收集
日志收集是网络安全监控的基础它涉及从各种关键日志来源收集数据。这些来源包括但不限于代理服务器、邮件服务器、Web服务器、数据库、身份认证服务器、防火墙、路由器和交换机以及应用程序服务器和工作站。为了有效地收集这些日志需要配置日志源以生成日志并将其转发给日志收集器然后上传到SIEM安全信息和事件管理系统。
在Windows系统中可以使用事件日志收集和转发机制来获取日志数据。而在Linux系统中则通常使用syslog来收集和聚合日志并将其转发到指定的日志收集器。此外随着物联网技术的发展楼宇管理和工控网络日志也成为了重要的日志来源这些系统现在通常连接到企业网络并可能成为攻击者的主要目标。
日志搜索与分析
收集到的日志数据需要进行有效的搜索和分析以便及时发现潜在的安全威胁。Splunk等日志管理工具提供了强大的日志收集、存储、搜索、分析和可视化功能。此外SIEM系统能够关联日志与活动识别可疑内容而Splunk也可以作为SIEM解决方案之一。
监控告警
监控告警是网络安全响应的重要组成部分。告警可以来自SIEM系统但也可以直接来自安装在系统和网络中的传感器实时告警系统如IDS入侵检测系统设备。此外事后告警系统如AIDE监视系统文件的修改等也可以提供重要的安全信息。在某些情况下事件可能不会从日志或警报中触发例如攻击者更改了用户密码后用户可能会直接联系管理员进行通告。
事件响应
事件响应是网络安全管理的关键环节。L2级分析师在收到L1级的工单后会进行分析评估并进行相应的事件响应流程。数字取证分析是网络安全的一个专门领域通常由L3级分析师处理。他们会对内存、硬盘等存储设备以合法方式进行取证以保护数据的完整性。
Cyber Hunting网络狩猎
网络狩猎是SOC安全运营中心L3级分析师的一门新兴学科。它假设网络已被渗透通过主动寻找恶意软件或入侵者争取在攻击造成损失之前发现。网络狩猎需要寻找一系列指标以还原网络攻击时间线。MITRE ATTCK框架是网络威胁猎人的一个关键资源它提供了攻击者行为方式及其使用工具的信息有助于发现攻击痕迹。网络威胁搜寻需要非常了解正常状态并能够识别入侵和异常活动。
威胁情报
威胁情报是网络安全管理的重要组成部分。妥协指标IOC是用于识别恶意软件或恶意活动的签名通常以文件名和哈希值的形式提供。考虑到新威胁信息的规模手动获取和记录威胁情报已不再可行。因此自动化威胁管理变得尤为重要。MITRE开发了结构化威胁信息表达STIX和可信智能信息自动交换TAXII协议以实现威胁信息的自动提供和摄取。这些协议允许自动获得威胁情报并将其输入IDS、SIEM等工具从而实现威胁情报的近乎实时更新以确保击败已知威胁。此外AlienVault OTX等开放威胁交换服务也提供了手动访问危害指标的功能。
安全管理
安全管理是一组确保公司业务安全的日常流程。它涵盖了多个方面包括身份管理IAM、访问控制、特权管理PAM、媒体消毒、人事安全、证书管理以及远程访问等。IAM是任何安全程序的基础也是黑客攻击的主要目标。访问控制需要配置和验证用户访问系统的权限并制定审计规则。PAM系统使非特权用户能够请求特权访问以提升权限。媒体消毒涉及在生命周期结束时对敏感数据进行安全清理和销毁。人事安全是公认的业务安全程序之一。证书管理对于维护PKI架构的完整性至关重要。而后疫情时代远程访问已成为攻击的重点因此需要加强对其的安全管理。
零信任网络
在2010年谷歌遭受极光行动网络攻击之后其内部网络管理方式发生了深刻变革并创造了“零信任”一词用以描述一种始终假设内部网络可能已被破坏的运行方式。这种全新的安全理念在NIST特别出版物800-207:零信任架构中得到了正式确立并现已成为所有美国政府机构必须强制实施的安全标准。
零信任架构的核心在于其四个关键特征
** 即时访问Just-In-Time Access, JITA** 用户或服务在需要时才被授予访问权限且权限具有时效性一旦任务完成或时间过期权限即被收回。
只需足够的访问权限Least Privilege Access, LPA 或 JEA, Just Enough Access 用户或服务仅被授予完成特定任务所需的最小权限集以减少潜在的安全风险。
动态访问策略 访问控制策略根据用户身份、设备状态、位置、时间等多种因素动态调整以适应不断变化的安全环境。
微观分割 将网络划分为多个小型的、相互隔离的安全区域以限制攻击者在网络内的横向移动能力。
安全和基础设施
在构建零信任网络的同时还需关注以下安全和基础设施方面的要素
数据备份/恢复 作为重要的运营技术数据备份在发生灾难或攻击事件时是恢复业务连续性和数据完整性的关键安全资产。
变更管理 安全策略需要与系统的变化过程紧密关联确保在提交变更前已充分评估风险并制定详细的变更管理计划包括推出计划、回滚计划、影响评估和依赖关系清单。
管理物理环境 数据中心环境的物理和电子安全同样重要包括物理访问控制、机房环境监控如功率、温度、气压等。
事件响应
有效的事件响应机制是零信任网络不可或缺的一部分。事件管理生命周期通常包括以下几个阶段
准备 了解系统及现有控制措施通过培训和演练提高组织的应急响应能力。
响应 识别安全事件、进行调查、采取行动以响应事件并恢复业务服务。
后续 事后进一步调查、形成报告、总结经验教训并据此改进安全流程和策略。
SABSA多层控制策略
SABSASherwood Applied Business Security Architecture多层控制策略提供了一种全面的安全框架包括威慑、预防、遏制、检测和通知恢复等多个层次的控制措施。
管理事件响应的方法
NIST特别出版物800-61: 计算机安全事件处理指南提供了一种标准化的事件响应方法包括检测和分析、遏制、根除和恢复以及事件后活动等阶段。此外PDCAPlan-Do-Check-Act循环也被广泛应用于事件响应生命周期的优化和持续改进中。
应急响应准备
在构建全面的应急响应体系时我们需要从多个维度进行准备包括但不限于风险评估、威胁分析、人员、流程和技术配置以及持续的控制和成熟度评估。
一、风险评估与威胁分析
风险评估 深入了解组织的技术资产、系统和数据并明确它们对业务的重要性从而确定关键保护对象。
威胁分析 通过策略、技术和实践来识别潜在的风险点并据此制定和实施相应的控制措施。
二、人员、流程和技术
建立团队 组建专业的应急响应团队明确各成员的角色和责任。
配备工具 为团队提供必要的应急响应工具和设备如日志分析工具、网络扫描器等。
制定流程剧本 针对不同类型的安全事件制定详细的应急响应流程和剧本。
演练 定期进行应急响应演练以提升团队的实战能力和协同效率。
三、控制
响应手册 编制应急响应手册明确在不同安全事件发生时应执行的标准操作程序。
事前流程规避 通过制定和执行严格的安全政策和流程尽可能减少安全事件的发生。
事中数据支持 在事件发生时提供必要的数据支持和分析工具帮助团队快速定位问题。
事后备份恢复 确保有可靠的数据备份和恢复机制以便在事件发生后能够迅速恢复业务。
四、成熟度评估
CREST成熟度评估工具 利用CREST提供的成熟度评估工具对组织的应急响应能力进行持续评估和改进。
流程培训实践技能培训 结合理论培训和实践技能培训提升团队的整体应急响应水平。
五、应急响应手册概述
该手册详细规定了在不同安全事件发生时应执行的标准操作程序涵盖了扫描、托管威胁、入侵、可用性、信息、欺诈、恶意内容、恶意软件检测、技术诚信和盗窃等多个安全事件类别。每个类别下都包含了具体的应急处理流程和操作规范。
六、演练与沟通
演练 通过红蓝对抗等模拟真实攻击场景的方式锻炼团队的应急响应能力并验证应急计划的有效性。
沟通 在应急响应过程中及时、充分、准确的信息沟通至关重要。沟通对象包括内部员工、外部合作伙伴、客户、媒体和政府等。
七、事件检测与响应
事件上报 一旦发现安全事件立即进行上报。
系统监控与检查日志告警 利用系统监控工具和日志分析技术及时发现并响应安全事件。
确定事件级别 根据事件的严重程度和影响范围确定事件的级别。
调查事件 对事件进行深入调查包括溯源取证等。
采取遏制措施 根据调查结果采取必要的遏制措施防止事件进一步扩大。
八、报告与总结
编写应急响应报告 详细记录事件的经过、处理过程和结果以及后续的调查计划和改进建议。
经验总结与改进建议 对事件处理过程中的经验和教训进行总结并提出针对性的改进建议。
九、入侵检测与防御
Snort 利用Snort等入侵检测和防御系统对网络流量进行实时监控和分析及时发现并阻止网络威胁。
流量分析 通过流量分析技术发现恶意流量并采取相应的告警和阻止措施。
IDS与IPS 根据实际需求选择合适的部署方式带外监视或串联部署以实现更高效的入侵检测和防御。
十、安装依赖包与配置Snort
安装DAQ数据采集库 为Snort提供必要的数据采集支持。
安装内存分配器 确保Snort在运行过程中有足够的内存资源。
安装配置Snort3 根据实际需求安装并配置Snort3包括自定义规则等。
自定义规则示例 如针对发往特定系统或子网中IP地址的任何流量发出警报等。
一、文件管理概述Snort规则配置
在网络安全监控中Snort等工具的规则配置是关键。规则定义了如何检测和处理网络流量并触发相应的告警。这些规则包含多个字段每个字段都扮演着特定的角色共同确保网络活动的准确监控。
二、Snort规则配置字段详细描述
alert
含义 指示这是一个告警规则。当流量匹配规则时Snort将生成告警。
示例 alert icmp any any - $HOME_NET any (msgTest Ping Event; ...)
icmp/tcp/udp
含义 指定要监控的协议类型如ICMP、TCP、UDP。
示例 alert icmp ... 或 alert tcp ...
any
作为源/目标IP或CIDR 表示任意IP地址。
作为源/目标端口 表示任意端口。
示例 any any任意源IP和端口 方向运算符
含义 指示流量的方向。
示例 - 表示从源到目标的流量。
$HOME_NET
含义 在Snort配置中定义的本地网络。
示例 $HOME_NET 替代具体的IP范围。
msg
含义 告警的描述性名称。
示例 msgTest Ping Event
sid
含义 规则的唯一签名ID。
示例 sid:1000001
rev
含义 规则的版本号用于跟踪更新。
示例 rev:1
classtype
含义 告警的分类类型。
示例 classtype:icmp-event
content
含义 在流量中查找的特定内容。
示例 content:Login incorrect
三、本地账号与Snort条件子句概述
Snort可通过设置条件子句来监控本地账号相关活动如失败的登录尝试。当满足条件时触发告警或执行其他操作。
四、具体Snort条件子句示例及解释
示例 检查失败的telnet登录尝试
规则语句
alert tcp $HOME_NET 23 - any any (msg:Failed login attempt; content:Login incorrect; sid:1000002; rev:1; classtype:attempted-user;)** 详细解释**
协议及源目标设定
alert tcp 针对TCP协议的告警。
$HOME_NET 23 源网络为本地网络端口为23Telnet。
- any any 流量流向任意目标IP和端口。
告警信息及分类相关
msg:Failed login attempt 告警名称为“Failed login attempt”。
content:Login incorrect 流量中需包含“Login incorrect”字符串。
sid:1000002 规则的唯一签名ID为1000002。
rev:1 规则版本号为1。
classtype:attempted-user 告警分类为“attempted-user”。
五、外部规则集
相关网址
Proofpoint 可能提供网络安全规则和建议。
Emerging Threats 提供新兴威胁相关的规则集。
六、In Line部署及阻断操作
In Line部署: Snort直接介入网络流量路径实现实时处理。
阻断操作
D drop 丢弃符合特定条件的流量。
sdrop 类似D drop但具体实现可能有所不同。
reject 拒绝流量并发送拒绝响应给源端。
七、总结
通过综合运用Snort的规则配置、外部规则集以及In Line部署和阻断操作可以实现对网络活动的全面、有效监控和安全防护。这要求管理员深入理解Snort的配置字段和条件子句并能够根据实际情况灵活设置和调整规则以确保网络的安全性和稳定性。
企业网络架构相关
CIOChief Information Officer首席信息官。
CTOChief Technology Officer首席技术官。
CISOChief Information Security Officer首席信息安全官。
CFOChief Financial Officer首席财务官。
CROChief Risk Officer首席风险官。
BYODBring Your Own Device自带设备。
ITILInformation Technology Infrastructure Library信息技术基础设施库。
DMZDemilitarized Zone非军事区。
VPNVirtual Private Network虚拟专用网络。
SOCSecurity Operations Center安全运营中心。
ISMSInformation Security Management System信息安全管理体系。
ISM3Information Security Management Maturity Model信息安全管理成熟度模型。
LDAPLightweight Directory Access Protocol轻量级目录访问协议。
ADActive Directory活动目录。
SANStorage Area Network存储区域网络。
NASNetwork Attached Storage网络附加存储。
SoLSerial over LAN串行局域网协议。
VMware威睿一家提供虚拟化和云计算软件及服务的公司。
vSphere威睿公司的一款虚拟化平台产品。
vCenter威睿公司用于管理 vSphere 环境的软件。
Proxmox一种开源的服务器虚拟化管理平台。
Hadoop一个分布式系统基础架构用于大数据处理。
DataBricks一家提供数据处理和分析平台的公司。
Cloudera一家大数据软件公司提供基于 Hadoop 的大数据解决方案等。
Google BigQuery谷歌公司的大数据分析服务。
Oracle BigData甲骨文公司的大数据相关产品或服务。
Amazon EMRElastic MapReduce亚马逊公司的大数据处理服务基于 Hadoop 等开源技术。
Azure Data Lake Storage微软 Azure 云平台提供的用于存储大数据的数据湖存储服务。
Azure HDInsight微软 Azure 云平台基于 Hadoop 的大数据分析服务。
MongoDB一种非关系型数据库NoSQL 数据库。
Redis一种开源的内存数据结构存储系统常用于缓存、消息队列等场景也可作为数据库使用属于非 SQL 数据库范畴。
Azure CosmosDB微软 Azure 云平台提供的全球分布式数据库服务支持多种数据模型属于非 SQL 数据库。
AWS DynamoDB亚马逊网络服务AWS提供的快速、灵活的非关系型数据库服务属于非 SQL 数据库。
SQLite一种轻型的嵌入式数据库引擎常用于移动设备、嵌入式系统等场景属于嵌入式 SQL 数据库。
MariaDB一个开源的关系型数据库管理系统是 MySQL 的一个分支属于嵌入式 SQL 数据库。
PostgreSQL一种强大的开源关系型数据库管理系统属于嵌入式 SQL 数据库。
Oracle SQL甲骨文公司的 SQL 数据库产品如 Oracle Database 中的 SQL 相关功能。
Microsoft SQL Server微软公司的关系型数据库管理系统属于 SQL 数据库。
MySQL一个开源的关系型数据库管理系统广泛应用于各种应用场景属于 SQL 数据库。
SMB/CIFSServer Message Block/Common Internet File System服务器消息块 / 通用互联网文件系统是一种网络文件共享协议用于在网络上的计算机之间共享文件、打印机等资源。
IPCInter-Process Communication进程间通信。
SABSASherwood Applied Business Security Architecture舍伍德应用商业安全架构。
CRESTCouncil of Registered Ethical Security Testers注册道德安全测试员委员会一个提供相关安全测试和评估标准、培训等的组织。网络攻击与防御相关
Cyber Hunting网络狩猎。
MITRE ATTCKMITRE Adversarial Tactics, Techniques, and Common Knowledge美国麻省理工学院研究机构MITRE开发的一个对抗战术、技术和通用知识框架用于描述网络攻击者的行为方式及其使用的工具等信息帮助安全人员发现攻击痕迹和进行防御规划。
IOCIndicator of Compromise妥协指标用于识别恶意软件或恶意活动的特征标记通常以文件名和哈希值等形式呈现。
STIXStructured Threat Information Expression结构化威胁信息表达一种用于描述网络威胁情报的标准格式便于不同系统之间共享和处理威胁信息。
TAXIITrusted Automated Exchange of Intelligence Information可信智能信息自动交换一种用于在不同组织或系统之间自动交换威胁情报的协议常与 STIX 配合使用实现威胁情报的自动提供和摄取。
AlienVault OTXAlienVault Open Threat ExchangeAlienVault 公司提供的开放威胁交换服务允许用户获取和共享网络威胁情报。
Snort一款开源的网络入侵检测和防御系统用于实时监控和分析网络流量及时发现并阻止网络威胁。
DAQData Acquisition数据采集
IDSIntrusion Detection System入侵检测系统用于监测网络中的入侵行为并发出告警但一般不直接阻断入侵行为。
IPSIntrusion Prevention System入侵防御系统不仅能检测入侵行为还能在发现异常时立即采取阻断等防御措施防止入侵行为的发生。
AIDEAdvanced Intrusion Detection Environment高级入侵检测环境一种主要用于监视系统文件修改情况的事后告警系统当发现文件被修改时会发出告警信息帮助追溯可能发生的安全事件。其他
PDCAPlan-Do-Check-Act计划、执行、检查、处理一种质量管理方法也常用于信息安全生命周期等的管理过程描述。
JITAJust-In-Time Access即时访问零信任网络架构中的一个关键特征指用户或服务在需要时才被授予访问权限且权限具有时效性一旦任务完成或时间过期权限即被收回。
LPALeast Privilege Access或 JEAJust Enough Access最小权限访问或刚好足够访问零信任网络架构中的关键特征指用户或服务仅被授予完成特定任务所需的最小权限集以减少潜在的安全风险。
