当前位置：首页 > article >正文

蓝队技术学习

article 2024/11/13 19:12:33

声明：

学习视频来自B站UP主泷羽sec,如涉及侵权马上删除文

章。本文只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,

否则后果自负

蓝队技术基础

1.企业网络架构：企业技术和信息团队的管理架构因企业而异。

CIO（Chief Information Officer）：首席信息官，负责企业信息系统。

CTO（Chief Technology Officer）：首席技术官负责运营技术

IT管理

中央管理，自带设备，影子IT（员工可能在企业内部搭建的小网络），BYOD 中央技术团队

客户服务团队：工作站，笔记本，服务台

基础设施团队：网络，服务器机群

数据管理团队：数据库存储

技术团队通常由项目驱动，采购系统和维护，建立技术运营团队，根据信息，技术基础设施库（ITIL）进行日常操作

安全部门通常由CISO（Chief Information Security Officer）：首席信息安全官
领导。向CIO,CTO,CFO（财务）,CRO在（风险官）报告。

企业管理技术

信息安全管理成熟度模型（ISM3）描述了企业安全运行和管理流程

安全职能包含战略，战术和运营安全所有方面。由CISO负责管理运营

作为安全团队成员，应了解企业文化，组织和关键人员以及推动业务成功的关键流程。这对于安全团队的积极形象很有帮助。

典型企业网络分区

企业网络通常划分为安全区域，区域之间控制访问权限.划分安全区可以防御外部和内部攻击。DMZ隔离内部与外部系统

蜜罐引诱+分析入侵者

代理对外供有限服务

员工与合作商VPN连接内网

核心网络通常物理分离、冗余

内部网络有线+无线+VPN

安管区管理日志、告警

模糊的边界

传统网络结构减少，越来越多在云中部署基础架构，或使用SaaS服务

传统边界越来越模糊

用户从企业工作站登录到云或SaaS服务

-企业经常提供身份凭据同步机制，甚至SSO解决方案

-云服务可能涉及在本地运行的硬件，例如AzureADConnect系统

-数据通过内部和外部服务进行管理，例如Oracle数据集成器

-工作负载可以通过Oracle服务总线或戴尔云平台跨混合环境共享

外部攻击面

收集开源情报后，绘制网络范围内全部节点，关闭无用节点 nmap -Sn <subnet>/24

重点关注开启了SSH服务的未加固设备

识别潜在攻击点

nmap -PS -sV ip-address

测试漏洞入口

大型网络主机和应用程序很容易缺少补丁，或配置存在漏洞

使用漏扫软件验证漏洞存在(Nessus等)

searchsploit <service name> <version>

searchsploit <service name> <version>是在searchsploit工具中按照服务名称和版本号来搜索相关漏洞利用脚本的命令格式。

身份管理

识别Windows典型应用

sudo nmap -PS -sV somesystem.com

Microsoft Exchange、Sharepoint、 AD

识别Linux典型应用

OpenSSH、Samba

识别WEB服务

企业应用或边界设备、VolP等

whatweb ht:/://w someweb.org

识别客户端设备，通常见于内网，或管理员疏漏，暴漏终端设备

身份和访问管理

身份以及特权和访问权管理是企业安全的重要方面

基本工作站和服务器维护自己的身份存储

用户账号、服务账号

普通用户不能执行系统级配置管理命令

sudo权限、以管理员身份运行

目录服务

LDAP轻量级目录访问协议(AD、 OpenLDAP)

域集中管理

集中资源存储、集中管理(组策略)

企业数据存储

随着数据分析学科的兴起，和某些监管的数据留存要求，企业需要集中地数据存储技术

大量数据通常部署为存储区域网络SAN,由高速网络连接多存储设备组成. NAS是另一种存储方案。他是拥有大量存储的单个设备，服务器和工作站通过本地网络访问

企业可使用串行局域网(SoL) 协议，使串行数据基于HTTPS传输

企业虚拟化平台，VSphere's VCenter，ProxMox

数据湖

数据湖是保存大量不同形式数据的大型存储库p结合数据分析可谓企业带来额外价值

Hadoop已经成为企业中常见的数据湖解决方案另种本地解决方案是DataBricks

基于云的大数据解决方案：Cloudera，Google BigQuery，Oracle BigData，Amazon EMR

，Azure Data Lake Storage，Azure HDInsight (基于云的Hadoop)

围绕数据湖有一个完整的技术生态，提供数据摄取管道和数据分析

Hadoop也可能带有前端安全服务，用于限制对湖中特定数据的访问。这为攻击者大规模未经授权访问数据以及渗透系统提供了机遇和挑战

攻击者的一个特定目标是Hadoop（一个分布式系统基础架构，用于大数据处理）的YARN服务，如果配置错误，很容易受到恶意HTTP请求的攻击，从而获得系统命令行shell。

企业数据库

SQL数据库: OracleSQL、MicrosotSQL、MySQL

设备中的嵌入式SQL: MariaDB、Postgresql. SQLite

非SQL 数据库: Mongo-DB、Redis. Azure CosmosDB、AWS DynamoDB
传统存储形式

共享驱动器，通过SMB协议访问

smbclient -L server U user

Windows默认共享

C$ (所有驱动器默认共享)

ADMIN$ (管理共享)

IPC$ (管道:用于与其他计算机互操作的特殊连接器)

smbclient \\\\someserver\\test -U usersmb:\> get Fritz.doc

SOC管理流程

SOC & ISMS

ISMS: Information security management system

SOC只是企业信息安全计划的一部分，了解其如何适应ISMS十分重要

ISO27001标准: 适用于审计和认证的基于控制方法

NIST网络安全框架: 注重预防和应对网络攻击

五个阶段:识别、保护、检测、响应、恢复

以上标准指导如何建立运营安全程序，但都没有具体提出建立SOC的要求，因此每个企业安全运营的组织方法都不尽相同。

戴明环是其早期表现:计划、做、检查和行动(PDCA)

SABSA框架改进为战略规划、设计、实施、管理测量的生命周期

从渗透测试的角度，掌握SOC的日常操作活动，是为了避免被发现从防御者的角度，掌握SOC完整的生命周期视图，以确保存其有效性. SOC的目标是通过监控和事件响应为基础设施和操作提供安全保障。

L1:提供监视告警、分类和解决小问题

L2:提供对日常事件的分析、遏制和解决

L3:负责损失控制、深入调查和取证分析等IR事件

L4:安全管理，负责日常、非事件相关的程序。如开设帐户、访问授权审查、定期安全报告和其他主动安全程序

网络杀伤链

洛克希德马丁公司的网络杀伤链模型描述了网络攻击的七个阶段
侦察（Reconnaissance）：指攻击者对目标进行信息收集和探测的阶段，旨在了解目标的网络架构、系统配置、潜在漏洞以及用户活动等相关情况，为后续攻击做准备。

武器化（Weaponization）：攻击者根据侦察所获取的信息，将恶意软件或攻击工具进行定制、包装，使其能够利用目标系统的特定漏洞，将其转化为具有攻击性的 “武器”。

投送（Delivery）：把经过武器化处理的恶意软件或攻击工具投送到目标系统或网络中，常见的投送方式包括通过电子邮件附件、恶意链接、受感染的移动存储设备等。

利用（Exploitation）：一旦投送成功，恶意软件便会利用目标系统存在的漏洞来触发并执行恶意代码，从而获取对目标系统的初步访问权限或控制权。

安装（Installation）：在成功利用漏洞进入目标系统后，攻击者会进一步在目标系统内安装额外的恶意软件组件，如后门程序、远程控制工具等，以便长期、稳定地控制目标系统。

指挥与控制（Command&Control）：安装在目标系统内的恶意软件会与攻击者所控制的外部服务器建立连接，使得攻击者能够远程对目标系统下达指令、获取数据以及进行进一步的操控。

行动（Action）：这是网络攻击的最后阶段，攻击者通过已经建立的指挥与控制通道，在目标系统上执行其预期的恶意活动，如窃取敏感信息、篡改数据、发起拒绝服务攻击等，从而达成其攻击目的。
日志收集

收集关键日志来源

代理服务器、邮件服务器、Web服务器、数据库、身份认证服务器、防火墙、路由器和交换机，以及应用程序服务器和工作站

配置日志源生成日志并转发给收集器，进而上传到SIEM

Windows 事件日志收集和转发

Linux 系统使用syslog收集和聚合日志并转发

收集楼宇管理和工控网络日志

这些系统现在通常连接到企业网络，可能称为主要的攻击目标

日志搜索&分析

Splunk提供日志收集、存储、搜索、分析和可视化功能

SIEM关联日志与活动，识别可疑内容。Splunk也作为SIEM解决方案

监控告警

告警可以来自SIEM,但也可以直接来自安装在系统和网络中的传感器实时告警系统，如IDS设备

事后告警系统，如AIDE攻击(监视系统文件的修改)

在某些情况下，事件不会从日志或警报中触发

攻击者更改了用户密码，用户联系管理员通告

事件响应

L2级分析师收到1级的工单时，分析评估后进行事项响应流程

数字取证分析是网络安全的一一个专门领域

由3级分析师处理，针对内存硬盘以合法方式取证，保护完整性

Cyber Hunting

网络狩猎是SOC3级分析师的一门新兴学科，它假设网络已被渗透,通过主动寻找恶意软件(或入侵者)，争取在攻击造成损失之前发现

寻找一系列指标，还原网络攻击时间线

网络威胁猎人的一个关键资源是MITRE ATT&CK框架，它提供攻击者行为方式及其使用工具的信息，帮助发现攻击痕迹

网络威胁搜寻需要非常了解正常状态，并能够识别入侵和异常活动

威胁情报

妥协指标 (oC)是用于识别恶意软件或恶意活动的签名。通常以文件名和哈希值的形式提供

考虑到新威胁信息的规模，手动获取和记录威胁情报不再可行。自动化威胁管理方面MITRE开发了结构化威胁信息表达(STIX) 和可信智能信息自动交换(TAXII)协议，以实现威胁信息的自动提供和摄取

STIX/TAXII旨在允许自动获得威胁情报并将其输入IDS、SIEM等工具，后者使用这些信息直接扫描传入的流量或文件。从而实现威胁情报的近乎实时更新，以确保击败已知威胁

另一个开放威胁交换服务之一是AlienVault OTX.在AlienVault 站点注册并获得OTX密钥后，可以手动访问危害指标

安全管理

安全管理是一组确保公司业务安全的日常流程

身份管理: IAM是任何安全程序的基础，和黑客攻击的目标访问控制: 配置和验证用户访问系统的权限，制定审计规则o特权管理: PAM系统使非特权用户能请求特权访问，权限提升媒体消毒:生命周期结束，敏感数据需要安全清理、销毁

人事安全:人员安全是公认的业务安全程序之-

证书管理:证书过期和泄露将直接摧毁PKI架构

远程访问:后疫情时代，远程访问已成为攻击重点

零信任网络

2010年，谷歌遭受极光行动网络攻击之后，改变了内网络管理方式。创造了"零信任~一词，以描述-种始终假设内部网络已被破坏的运行方式

访问之前始终对身份和授权进行积极验证。这种方法在NIST特别出版物800-207:零信任架构中正式确定，现在所有US政府机构都强制实施零信任

零信任架构假设外部边界随时可能被突破，因此在被证明是良性的之前，任何访问请求都应被视为敌对的。它有四个关键特征:

即时访问 (JITA)

只需足够的访问权限(JEA)

动态访问策略

微观分割

安全和基础设施

数据备份/恢复是重要的运营技术，在发生灾难或攻击事件时，备份数据是一项关键的安全资产

变更管理

安全需要与系统的变化过程密切相关

确保在提交变更之前已经正确评估了风险

变更管理计划包含推出计划、回滚计划、影响评估和依赖关系清单

管理物理环境

管理数据中心环境涉及物理和电子安全，它包括物理访问、机房环境(功率、温度、气压等)

事件响应

事件管理生命周期

安全事件响应可视为一组缓解控制，通过检测和阻断攻击途径，以减少攻击造成的损失

CREST事件管理模型

准备:了解系统及现有控制，通过培训和演练使组织为事故做好准备。响应:识别、调查、采取行动响应事件及业务服务的恢复

后续:事后进一步调查、形成报告、总结经验教训，改进流程

SABSA多层控制策略。威慑

预防

遏制

检测和通知恢复

管理事件响应

事件响应方法NIST特别出版物800-61:计算机安全事件处理指南。检测和分析

遏制

根除和恢复

事件后活动

注重政策和程序以及信息共享

PDCA的事件响应生命周期

应急响应准备

风险评估:了解技术资产、系统和数据，井了解它们对业务的重要性

威胁分析: 策略、技术和实践确定风险点，反向推动控制到位

人员、流程和技术:建立团队、配备工具、制定流程剧本，演练

控制:响应手册，事前流程规避、事中数据支持、事后备份恢复

成熟度评估: CREST提供成熟度评估工具，这是个持续的过程流程培训+实践技能培训

一、应急响应手册概述

该手册详细规定了在不同安全事件发生时应执行的标准操作程序，按安全事件类别进行了分类阐述。
二、各安全事件类别及相关情况
（一）PB01 扫描

PB01.1 IP 地址扫描：涉及对 IP 地址进行扫描相关的应急处理操作。
PB01.2 端口扫描：针对端口扫描情况制定的应急操作流程。
（二）PB02 托管威胁

PB02.1 病毒隔离：当检测到病毒时采取隔离措施的操作规范。
PB02.2 检测到登录尝试失败：针对登录尝试失败情况的应急响应步骤。
PB02.3 检测到已知漏洞：在发现已知漏洞时应执行的操作程序。
（三）PB03 入侵

PB03.1 检测到入侵指示：明确在检测到有入侵迹象时的应对操作。
PB03.2 非特权帐户泄露：针对非特权帐户泄露事件的处理流程。
PB03.3 未经授权的权限提升：对于出现未经授权提升权限情况的应急措施。
PB03.4 恶意员工活动：处理员工从事恶意活动的相关操作规范。
PB03.5 管理帐户泄露：在管理帐户泄露时应采取的行动步骤。
（四）PB04 可用性

PB04.1 拒绝服务 (DOS/DDOS)：应对拒绝服务攻击（包括 DOS 和 DDOS）的操作流程。
PB04.2 破坏：针对系统等被破坏情况的应急处理程序。
（五）PB05 信息

PB05.1 未经授权访问信息：处理未经授权访问信息事件的操作规范。
PB05.2 未经授权修改信息：在发现未经授权修改信息时应执行的步骤。
PB05.3 数据泄露：针对数据泄露情况制定的应急措施。
（六）PB06 欺诈

PB06.1 未经授权使用资源：对于未经授权使用资源这类欺诈行为的处理流程。
PB06.2 侵犯版权：处理侵犯版权欺诈事件的操作规范。
PB06.2 欺骗身份：应对欺骗身份欺诈情况的应急措施。
（七）PB07 恶意内容

PB07.1 网络钓鱼电子邮件：处理网络钓鱼电子邮件的操作步骤。
PB07.2 恶意网站：针对恶意网站的应急处理程序。
PB07.3 受感染的 U 盘：在遇到受感染的 U 盘时应采取的行动。
（八）PB08 恶意软件检测

PB08.1 病毒或蠕虫：针对检测到病毒或蠕虫时的应急操作流程。
PB08.2 勒索软件：处理勒索软件的相关操作规范。
PB08.3 APT：应对高级持续性威胁（APT）的应急措施。
（九）PB09 技术诚信

PB09.1 网站污损：处理网站污损情况的应急操作流程。
PB09.2 DNS 重定向：针对 DNS 重定向情况制定的应急措施。
（十）PB10 盗窃

PB10.1 盗窃资产：在发生资产盗窃事件时应采取的行动步骤。

这份手册通过对各类安全事件的详细分类及对应应急操作的明确，为应对不同的网络安全问题提供了较为全面的指导规范。

演练与沟通

锻炼团队应响能力，验证应响计划的有效性

红蓝对抗，模拟真实攻击场景

总结经验、发现问题、改进计划

应响过程中及时充分准确的信息沟通至关重要

沟通对象涉及内部员工、外部合作伙伴、客户、媒体、政府等

事件检测与响应

安全事件的发生。事件上报

系统监控与检查日志告警

确定事件级别

检测是否存在入侵

调查事件

采取遏制措施

溯源取证

报告与总结

编写应急响应件报告

标题、编号

I件归类级别

受影响的系统、账号登。事件详细过程

还原事件时间线进一步调查计划

经验总结与改进建议

入侵检测与防御

Snort被许多组织用来检测和阻止网络威胁。。网络安全专业人员应理解和有能力修改其规则。可配置为IDS或IPS,根据规则做出反应

Fortinet防火墙等设备支持导入Snort规则

流量分析是发现网络攻击的重要手段

发现恶意流量，被动告警和主动阻止攻击。IDS采用带外监视的部署方式

入侵防御系统(IPS)

串联部署，具有主动阻止威胁的能力

适合需要更快响应的场景

安装依赖包

安装DAQ数据采集库

安装内存分配器

●安装配置Snort3

安装、自定义规则

对发往SHOME NET系统或子网中IP地址的任何流量发出警报

alert icmp any any-> $HOME NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event)

一、文件管理概述

在涉及网络安全监控工具（如 Snort）的文件管理中，有一系列重要的字段用于定义规则，这些规则能够帮助准确地检测和处理网络中的各类活动，并以特定方式进行告警等操作。
二、各字段详细描述
（一）alert

含义：该字段明确告诉 Snort 此规则是一个告警规则。当网络流量符合此规则所设定的条件时，Snort 会发出相应的告警信息，以便管理员及时知晓可能存在的异常活动。
示例用法：在规则配置文件中，如 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) ，“alert” 开头就表明这是一个用于产生告警的规则。

（二）icmp

含义：用于指定要标记活动的流量类型。除了 ICMP（Internet Control Message Protocol，互联网控制报文协议）之外，还可以是 TCP（Transmission Control Protocol，传输控制协议）、UDP（User Datagram Protocol，用户数据报协议）等其他常见的网络协议。通过指定具体的协议类型，能够精准地针对特定协议的流量进行监控和规则应用。
示例用法：在规则 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) 中，“icmp” 明确了此规则是针对 ICMP 协议的流量进行相关操作。

（三）any

作为源 IP 地址或 CIDR 指定：当用于指定源 IP 地址或 CIDC（无类别域间路由，Classless Inter-Domain Routing）时，“any” 表示任何地址。这意味着规则将对来自任何源 IP 地址的流量进行检测，不局限于特定的 IP 范围，从而实现对广泛来源的流量监控。
示例用法：在规则 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) 中，第一个 “any” 就是指定源 IP 地址为任何地址。
作为源端口指定：同样，“any” 还可用于指定要检测的源端口，即表示对任何源端口的流量进行关注。这种宽泛的指定方式有助于全面捕捉可能存在问题的流量情况，不过在某些特定需求下，也可以根据实际情况将其替换为具体的端口号以实现更精准的监控。
示例用法：还是上述规则中的第二个 “any”，这里就是指定要检测的源端口为任何端口。

（四）< >（方向运算符）

含义：方向运算符 “<>” 用于指定流量方向。它标识 IP 和端口同时作为来源和目的，明确了流量是从哪里来以及要到哪里去的路径关系。通过这种方式，可以准确地界定规则所适用的流量流向情况，以便更精准地检测符合特定流向要求的流量活动。
示例用法：在规则 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) 中，“->” 就是方向运算符，表明流量是从由前面 “any any” 所指定的源（任何源 IP 地址和任何源端口）流向由 “$HOME_NET any” 所指定的目标（配置文件中指定的本地网络的任何目标 IP 地址和任何目标端口）。

（五）$HOME_NET

含义：在 Snort 的配置文件中指定的本地网络。它可以通过具体的 IP 地址范围来表示，通常采用 CIDR 格式（如 192.168.0.0/16）。此外，也可以使用多个 CIDR 来更精准地界定本地网络的范围，以便根据实际需求对本地网络内的流量进行全面且精准的监控。
示例用法：在规则 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) 中，“$HOME_NET” 就是指代在配置文件中已经定义好的本地网络范围，具体值需根据配置文件的设置来确定。

（六）any（指定要检测的目标端口）

含义：用于指定要检测的目标端口，同样表示任何端口。这使得规则能够对流向本地网络（由 “$HOME_NET” 指定）的任何目标端口的流量进行检测，与前面指定源端口的 “any” 配合，实现对流量在端口层面的全面监控。
示例用法：在规则 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) 中，最后一个 “any” 就是指定要检测的目标端口为任何端口。

（七）msg

含义：报警名字段。用于给当网络流量符合规则时所发出的告警赋予一个特定的名称，以便管理员在查看告警信息时能够快速识别告警的大致内容和相关活动类型。这个名称应该具有一定的描述性，能够直观地反映出告警所对应的网络活动情况。
示例用法：在规则 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) 中，“msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event)” 里的 “Test Ping Event” 就是报警名字段所设定的具体名称，用于标识此次告警与测试 Ping 事件相关。

（八）sid

含义：签名 ID 字段。它用于给每个规则赋予一个唯一的标识编号，取值范围通常有一定要求，一般来说，自定义报警必须大于等于 100000 且唯一。这个编号在 Snort 的规则管理和识别中起着重要作用，便于对不同规则进行区分、查询和管理。
示例用法：在规则 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) 中，“sid:1000001” 就是指定的签名 ID 字段的值，表明此规则的签名 ID 为 1000001。

（九）rev

含义：规则更新时，作为版本号跟踪。当对规则进行修改、完善或更新等操作时，可以通过更新 “rev” 字段的值来记录规则的版本变化情况，以便在后续的规则管理和维护中能够清楚地了解到每条规则的演进历程，对于排查问题、分析规则效果等方面都具有重要意义。
示例用法：在规则 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) 中，“rev:1” 就是指定的规则更新时的版本号，表明此规则当前的版本为 1。

（十）classtype

含义：Snort 有一个默认类型列表，可以帮助分类告警，便于搜索特定类型的活动。通过将规则的告警归类到不同的类型中，能够更高效地对大量告警信息进行筛选、分析和处理，使得管理员可以根据特定类型的活动快速定位和处理相关告警，提高网络安全监控和管理的效率。
示例用法：在规则 alert icmp any any -> $HOME_NET any (msg"Test Ping Event: sid:1000001rev:1; classtype:icmp-event) 中，“classtype:icmp-event” 就是指定将此次告警归类到 “icmp-event” 这种类型中，以便后续根据该类型进行相关操作。

通过对这些字段的准确理解和合理运用，能够在 Snort 等网络安全监控工具的文件管理中，更加精准地定义规则，实现对网络活动的有效监控和管理。

一、本地账号与 Snort 条件子句概述

在网络安全监控领域，特别是涉及到本地账号相关活动的监控时，Snort 作为一款常用的网络入侵检测系统（NIDS），可通过设置特定的条件子句来检测各种异常情况。当满足或不满足这些设定的条件时，相应的触发子句就会被执行，从而实现对潜在安全威胁的告警或其他处理操作。
二、具体 Snort 条件子句示例及解释
（一）检查失败的 telnet 登录尝试

规则语句：alert tcp $HOME_NET 23 -> any any (msg:"Failed login attempt"; content:"Login incorrect"; sid:1000002; rev:1; classtype:attempted-user;)

详细解释：
协议及源目标设定：
alert tcp：表明这是一个针对 TCP 协议的告警规则。Snort 会对符合后续条件的 TCP 协议流量进行监测并在满足条件时发出告警。
$HOME_NET 23：这里指定了源网络，$HOME_NET 通常是在 Snort 配置文件中定义好的本地网络范围（如以 CIDR 格式表示的某个 IP 地址段），23 是 Telnet 服务所使用的端口号。这表示规则关注的是从本地网络的 Telnet 端口发出的流量。
-> any any：方向运算符，表明流量是从前面指定的源（本地网络的 Telnet 端口）流向任何目标 IP 地址和任何目标端口。
告警信息及分类相关：
msg:"Failed login attempt"：msg 字段用于设置告警名字，在此处将告警命名为 “Failed login attempt”，以便管理员在查看告警信息时能快速了解到该告警与 Telnet 登录失败尝试相关。
content:"Login incorrect"：content 字段用于指定在监测的流量中要查找的特定内容。在这里，当 Snort 在 TCP 流量中检测到包含 “Login incorrect” 这个字符串时，就会认为可能发生了 Telnet 登录失败的情况。
sid:1000002：sid 是签名 ID 字段，给这条规则赋予了一个唯一的标识编号 1000002。按照规定，自定义报警的sid 值通常要大于等于 100000 且唯一，方便在众多规则中对该规则进行区分和管理。
rev:1：rev 字段在规则更新时作为版本号跟踪。这里设置为 1，表示该规则当前的版本是 1，当后续对该规则进行修改等操作时，可以更新这个版本号来记录规则的演进历程。
classtype:attempted-user;：classttype 字段利用 Snort 的默认类型列表对告警进行分类，将此次告警归类到 “attempted-user” 类型中，便于后续搜索特定类型的活动，比如管理员可以通过查找 “attempted-user” 类型的告警来集中查看所有与用户登录尝试相关的情况。

三、外部规则集

相关网址：
https://www.proofpoint.com/us：这是一个可能提供与网络安全相关规则或其他资源的网址，也许可以从这里获取到一些补充的规则内容、安全建议等信息，用于进一步完善对网络活动的监控和安全防护。
https://rules.emergingthreats.netopen/：同样是一个与网络安全规则相关的网址，可能提供各种新兴威胁相关的规则集，通过参考这些外部规则集，可以拓宽 Snort 的检测范围，使其能够应对更多种类的潜在安全威胁。

四、In Line 部署及阻断操作

In Line 部署：这种部署方式使得 Snort 能够直接介入到网络流量的传输路径中，而不仅仅是在一旁监测。通过 In Line 部署，Snort 可以实现对网络流量的实时处理，在检测到异常情况时能够立即采取相应的措施，而不是仅仅发出告警。
阻断操作相关：
D drop：这是一种阻断方式，当 Snort 检测到符合某些特定条件（比如满足某条设定的阻断规则）的流量时，会直接丢弃（drop）该流量，使其无法继续在网络中传输，从而有效地阻止了可能的恶意活动通过该流量进行传播。
sdrop：类似于D drop，也是一种用于阻断流量的操作方式，具体细节可能因不同的实现环境或规则设置而有所差异，但总体目的也是阻止特定流量在网络中的传播。
reject：这种方式不仅会阻断（拒绝）特定流量的传输，还会向发送该流量的源端发送一个拒绝响应，告知源端其发送的流量被拒绝了。这样做一方面可以阻止恶意流量，另一方面也能让源端知道其发送的内容存在问题，在某些场景下可能更有利于维护网络的正常秩序和提示用户进行相应的修正。
通过综合运用 Snort 的条件子句设置、参考外部规则集以及采用合适的部署方式和阻断操作，可以更全面、有效地对本地账号相关活动以及其他网络活动进行监控和安全防护。

企业网络架构相关

CIO（Chief Information Officer）：首席信息官
CTO（Chief Technology Officer）：首席技术官
CISO（Chief Information Security Officer）：首席信息安全官
CFO（Chief Financial Officer）：首席财务官
CRO（Chief Risk Officer）：首席风险官
BYOD（Bring Your Own Device）：自带设备
ITIL（Information Technology Infrastructure Library）：信息技术基础设施库
DMZ（Demilitarized Zone）：非军事区
VPN（Virtual Private Network）：虚拟专用网络
SOC（Security Operations Center）：安全运营中心
ISMS（Information Security Management System）：信息安全管理体系
ISM3（Information Security Management Maturity Model）：信息安全管理成熟度模型
LDAP（Lightweight Directory Access Protocol）：轻量级目录访问协议
AD（Active Directory）：活动目录
SAN（Storage Area Network）：存储区域网络
NAS（Network Attached Storage）：网络附加存储
SoL（Serial over LAN）：串行局域网协议
VMware：威睿（一家提供虚拟化和云计算软件及服务的公司）
vSphere：威睿公司的一款虚拟化平台产品
vCenter：威睿公司用于管理 vSphere 环境的软件
Proxmox：一种开源的服务器虚拟化管理平台
Hadoop：一个分布式系统基础架构，用于大数据处理
DataBricks：一家提供数据处理和分析平台的公司
Cloudera：一家大数据软件公司，提供基于 Hadoop 的大数据解决方案等
Google BigQuery：谷歌公司的大数据分析服务
Oracle BigData：甲骨文公司的大数据相关产品或服务
Amazon EMR（Elastic MapReduce）：亚马逊公司的大数据处理服务，基于 Hadoop 等开源技术
Azure Data Lake Storage：微软 Azure 云平台提供的用于存储大数据的数据湖存储服务
Azure HDInsight：微软 Azure 云平台基于 Hadoop 的大数据分析服务
MongoDB：一种非关系型数据库（NoSQL 数据库）
Redis：一种开源的内存数据结构存储系统，常用于缓存、消息队列等场景，也可作为数据库使用，属于非 SQL 数据库范畴
Azure CosmosDB：微软 Azure 云平台提供的全球分布式数据库服务，支持多种数据模型，属于非 SQL 数据库
AWS DynamoDB：亚马逊网络服务（AWS）提供的快速、灵活的非关系型数据库服务，属于非 SQL 数据库
SQLite：一种轻型的嵌入式数据库引擎，常用于移动设备、嵌入式系统等场景，属于嵌入式 SQL 数据库
MariaDB：一个开源的关系型数据库管理系统，是 MySQL 的一个分支，属于嵌入式 SQL 数据库
PostgreSQL：一种强大的开源关系型数据库管理系统，属于嵌入式 SQL 数据库
Oracle SQL：甲骨文公司的 SQL 数据库产品，如 Oracle Database 中的 SQL 相关功能
Microsoft SQL Server：微软公司的关系型数据库管理系统，属于 SQL 数据库
MySQL：一个开源的关系型数据库管理系统，广泛应用于各种应用场景，属于 SQL 数据库
SMB/CIFS（Server Message Block/Common Internet File System）：服务器消息块 / 通用互联网文件系统，是一种网络文件共享协议，用于在网络上的计算机之间共享文件、打印机等资源
IPC（Inter-Process Communication）：进程间通信
SABSA（Sherwood Applied Business Security Architecture）：舍伍德应用商业安全架构
CREST（Council of Registered Ethical Security Testers）：注册道德安全测试员委员会（一个提供相关安全测试和评估标准、培训等的组织）

网络攻击与防御相关

Cyber Hunting：网络狩猎
MITRE ATT&CK（MITRE Adversarial Tactics, Techniques, and Common Knowledge）：美国麻省理工学院研究机构（MITRE）开发的一个对抗战术、技术和通用知识框架，用于描述网络攻击者的行为方式及其使用的工具等信息，帮助安全人员发现攻击痕迹和进行防御规划
IOC（Indicator of Compromise）：妥协指标，用于识别恶意软件或恶意活动的特征标记，通常以文件名和哈希值等形式呈现
STIX（Structured Threat Information Expression）：结构化威胁信息表达，一种用于描述网络威胁情报的标准格式，便于不同系统之间共享和处理威胁信息
TAXII（Trusted Automated Exchange of Intelligence Information）：可信智能信息自动交换，一种用于在不同组织或系统之间自动交换威胁情报的协议，常与 STIX 配合使用，实现威胁情报的自动提供和摄取
AlienVault OTX（AlienVault Open Threat Exchange）：AlienVault 公司提供的开放威胁交换服务，允许用户获取和共享网络威胁情报
Snort：一款开源的网络入侵检测和防御系统，用于实时监控和分析网络流量，及时发现并阻止网络威胁
DAQ（Data Acquisition）：数据采集
IDS（Intrusion Detection System）：入侵检测系统，用于监测网络中的入侵行为并发出告警，但一般不直接阻断入侵行为
IPS（Intrusion Prevention System）：入侵防御系统，不仅能检测入侵行为，还能在发现异常时立即采取阻断等防御措施，防止入侵行为的发生
AIDE（Advanced Intrusion Detection Environment）：高级入侵检测环境，一种主要用于监视系统文件修改情况的事后告警系统，当发现文件被修改时会发出告警信息，帮助追溯可能发生的安全事件

其他

PDCA（Plan-Do-Check-Act）：计划、执行、检查、处理（一种质量管理方法，也常用于信息安全生命周期等的管理过程描述）
JITA（Just-In-Time Access）：即时访问，零信任网络架构中的一个关键特征，指用户或服务在需要时才被授予访问权限，且权限具有时效性，一旦任务完成或时间过期，权限即被收回
LPA（Least Privilege Access）或 JEA（Just Enough Access）：最小权限访问或刚好足够访问，零信任网络架构中的关键特征，指用户或服务仅被授予完成特定任务所需的最小权限集，以减少潜在的安全风险