hw蓝队溯源流程详细介绍

背景：

攻防演练过程中，攻击者千方百计使用各种方法渗透目标。一般情况下攻击链包括：侦察、武器化、交付、利用、安装、命令和控制、窃取目标数据。在溯源中，安全人员对攻击者某个阶段的攻击特点进行分析，再结合已掌握的威胁情报数据将攻击特点和数据聚类，能够有效掌握攻击者的攻击手法和 IP 、域名资产等。

目标：

掌握攻击者的攻击手法（例如：特定木马、武器投递方法）；
掌握攻击者的 IP域名资产（例如：木马 C2、木马存放站点、资产特点）；
掌握攻击者的虚拟身份、身份；
掌握攻击者武器的检测或发现方法，将捕获的数据形成新的线索。

方法论：

针对交付、利用、安装、命令和控制四个阶段捕获到的数据做深度分析，聚类提取数据特点形成规则。将规则应用于一些安全设备产出高可信度的告警用于防御，或者结合情报数据（如样本信息、域名信息、IP 信息等），将深度溯源的情报（如身份信息、攻击队伍等）产出。

1.