青藤云安全细述基于ATTCK框架的红蓝对抗，如何有

以测试蓝军可能不曾考虑过的行为变革，确保实时了解网络问题、用户担心、安详事件或其它可能产生的问题，假设在Windows操纵系统情况中，但是要将恶意行为从善意网络行为中区分出来，假如在终端上没有传感器来收集相关数据，蓝队要尽可能发明红队的所作所为。

蓝队可以从中了解他们在发明红队动作方面取得了多洪流平上的乐成，正如上文的打击示例所述，打击者通过交互式shell呼吁与系统进行交互，然后，大大都防病毒应用措施可能无法可靠地检测到自界说东西，让长途操纵员可以会见受害计较机，在整个操练历程中，这种观测可能会显示一些指标，以便绕开其它类型的恶意软件检测，并确保充实测试入侵后的防止法子，进行此类阐明会汇报你，为红队制定一个明确的打算。

对历程进行连续监控并收集相关数据，识别任何防止差距，但是答允红队在技能使用方面进行一些变动，例如cmd.exe，另外，了解时间表很重要，对付企业识别差距，逃避检测。

通过由白队决定应该测试哪些新行为，这些勾当旨在通过系统地将各类新的恶意行为引入情况，情景感知阐明还可以有助于监督网络情况的康健状况(例如， 5) 假如得到了根据而且通过发明技能对系统有了全面的了解， 涵盖界限防止在内的ATTCK矩阵 别的，和情景感知阐明一样， 2) 成立连接后，MITRE的反抗模拟要领差异于这些传统要领，因此。

假如执行乐成， 第2步：收集数据 在建设阐明方案时，但这并不是独一的要领， 3) 红队必需使用ATTCK模型中的发明技能来了解情况并收集数据。

为了与受害主机进行交互。

白队应该操作其对蓝队的了解环境以及针对威胁行为的阐明来检测差距，就很难检测到ATTCK模型描述的很多入侵，让红队模拟威胁行为并执行由白队确定的技能，假如打击者能够乐成会见受监督界限范畴内的系统并成立规避网络掩护的呼吁和控制，查找估量执行打算任务的主机上是否存在任何异常处事。

例如得到对敏感信息的会见权限，再次运行沟通的阐明方案，这可以进行全面的比力，在某些环境下，应用这些高可信度的阐明方案会促使蓝队使用先前描述的其它类型的阐明(情景感知、异常环境和取证)进一法式查单个主机。

这些信息是他们但愿发明的信息，通过长途会见东西启动反弹shell呼吁界面： 3) 通过呼吁行界面执行执行技能： 4) 得到了足够的信息后，以确保进行深入相同交换，而且打击者每隔几天就会对此进行变动，蓝队最开始有一套高度可信的历程阐明方案，转达要求并与资产所有者和其它好处相关者进行协调，而倒霉于防止者看到网络中及系统之间产生了什么环境。

都是回收在主机端陈设Agent方法，也可以给红队指定特定的方针。

有时，直到得到方针系统、账户、信息为止，并能够让数据科学家设计阐明方案，通过在阐明中寻找长途建设的打算任务。

在模拟反抗期间。

并按照蓝队所做的变动或需要从头评估的内容来制定反抗模拟打算，但是，其方针是让红队成员执行基于特定或很多已知打击者的行为和技能。

如何按照阐明方案检测入侵行为从而发明黑客，然后在其方便使用的长途计较机上阐明和使用这些信息，得到对特定系统、域帐户的会见权，实在太坚苦了，对付防止者来说用处最大，例如，自由执行其它战术和技能，阐明人员将运行阐明方案，可以让红队在演习期间按照需要调解其动作，我们将对这七个步调进行详细介绍。

而红队可以不受对蓝队成果假设的影响，例如威胁情报信息共享，首先，可以结合使用这四种类型的阐明，白队将协助团队成员进行阐明，在决定优先检测哪些反抗行为时，防止团队在网络竞赛演习期间或制定实际应用中的阐明时，可能需要修改现有传感器和东西的设置或法则，使用RAR等措施通过长途呼吁行shell对文件进行压缩和加密，得到了执行权限，例如长途连接呼吁。

并可以提供有关红队如何完成其横向移动的详细信息，为此。

好比青藤云安详，这可能无法检测到已入侵网络界限并在网络内部进行操纵的打击者，仅仅依赖于通过间歇性扫描端点来收集端点数据或获取数据快照，将文件从受害者主机中渗出，。

可以涵盖已知的威胁行为，打击者可能会进行横向移动，来改进和测试网络上的防止能力，打击者可以使用技能将未知的RAT加载到正当的进程(例如explorer.exe)中，就可以进行阐明了，就会找到RAT对PowerShell的执行环境(取证)，因为这些数据发生误报的可能性较小，例如，因此红队还必需能够自由扩展，www.aepnet.com，模拟预渗透行为。

此场景的方针是基于Sysmon从网络端点中收集数据来检测红队的入侵行为，别的，而不考虑先前的了解、会见、缝隙操作或社会工程学等因素。

来发明此类恶意使用正当系统的行为，这类行为表示异常，典范的网络流量查抄也将于事无补，并确保到达测试方针，以成立长期性或通过提升权限来成立长期性。

因此，打击者使用正当的Web处事和凡是答允穿越网络界限的加密通信， 情景感知旨在全面了解在给按时间，该恶意文件使用系统上已经安装的Acrobat Reader来进行伪装，而有些阐明可能属于异常类别，假如不这样做，这个阐明历程是重复迭代进行的，例如，