Post #1318

文章列举了必要的基础设施清单，包括员工设备、服务器、域名和 IP 地址的库存，以及确保所有设备的日志都被送到集中式日志服务器。接着，文章提供了八种威胁搜寻的具体策略，包括系统用户登录、登录到不同位置、在工作时间以外登录、通过 SSH 使用密码登录、从已知代理或 TOR 网络登录、从其他国家登录、从 “不可能” 的地点登录以及失败登录后成功登录等。每种策略都附有相应的命令或方法来检测异常行为。文章还提到了使用 GeoIP、时间分桶和 NOC 声誉 API 等工具来辅助威胁搜寻。 https://trunc.org/learning/threat-hunting-using-your-logs-part-I