1. XDR与EDR联动分析(APT攻击链)
场景:某终端EDR检测到可疑PowerShell脚本,如何通过XDR关联分析APT攻击?
答案要点:
-
终端侧:检查进程树(父进程是否为office程序)、脚本反混淆(提取IEX加载的恶意URL)
-
网络侧:通过XDR关联NDR数据,定位该终端发起的异常DNS隧道请求
-
横向移动:检索同一网段内其他终端的PsExec连接日志
-
数据渗出:检测压缩文件外传行为(如7z高频请求外部存储)
2. SIEM规则优化(降低误报率)
场景:HW期间SIEM频繁告警"暴力破解",如何优化规则减少误报?
答案要点:
-
基于威胁情报过滤:排除VPN/合法扫描IP地址
-
复合条件检测:同一源IP在多个系统产生失败登录(而非单系统)
-
时间窗口统计:5分钟内超过30次失败登录且成功率为0%
-
基线对比:对比该IP历史行为模式(如首次出现跨国登录)
3. NDR与威胁情报集成(C2检测)
场景:如何通过NDR结合威胁情报识别新型C2通信?
答案要点:
-
实时匹配:DNS请求与威胁情报的域名信誉库(如DGA域名检测)
-
行为分析:周期性HTTP Beacon(固定时间间隔±10%抖动)
-
JA3指纹库:比对已知C2框架(Metasploit/Cobalt Strike)的TLS指纹
-
机器学习:检测证书异常(如自签名证书有效期异常)
4. SOC效能KPI设计(HW量化评估)
场景:如何制定HW期间SOC团队的量化考核指标?
答案要点:
-
检测能力:MTTD(平均检测时间)≤15分钟
-
响应效率:MTTR(平均响应时间)≤30分钟
-
准确性:告警分类准确率≥95%(FP率<5%)
-
覆盖度:ATT&CK技术点检测覆盖率≥80%
-
溯源深度:攻击链还原完整度(至少包含3个攻击阶段)
5. XDR检测0day漏洞利用(内存攻击)
场景:攻击者利用未公开的RCE漏洞进行无文件攻击,XDR如何检测?
答案要点:
-
终端侧:检测异常进程内存操作(如RWX权限区域动态生成shellcode)
-
网络侧:NDR捕获漏洞利用阶段的异常TCP载荷(如ROP链特征)
-
行为关联:漏洞利用后立即出现横向移动行为(如WMI远程执行)
-
沙箱联动:可疑样本自动提交至云端沙箱进行动态行为分析
6. NDR与防火墙策略联动(动态防御)
场景:NDR检测到内网横向渗透,如何自动调整防火墙策略?
答案要点:
-
生成微隔离策略:基于NDR流量画像创建最小化访问控制(如仅允许业务必要端口)
-
动态ACL更新:通过API实时下发规则阻断恶意IP(生存周期TTL=2小时)
-
失陷主机隔离:对检测到C2通信的主机启动网络隔离(VLAN切换)
-
策略有效性验证:持续监测拦截动作后的攻击者行为变化
7. HW攻击溯源(SIEM日志分析)
场景:攻击者清除日志后,如何通过SIEM进行攻击链重建?
答案要点:
-
多源日志关联:整合网络设备NetFlow、终端EDR、DNS解析日志
-
时间线重构:围绕失陷主机建立3小时窗口期的所有关联事件
-
威胁情报扩展:通过IP/域名反向查询关联历史攻击活动
-
攻击者画像:统计TTPs(如使用的C2框架、漏洞利用工具)
-
取证报告生成:自动提取IoC并生成STIX 2.1格式威胁情报
