以下是使用Darktrace时的一些经验。我把它们放在一起作为自己的笔记。

时区变化

默认情况下,您的事件日志,违规日志将使用UTC时区显示日志。点击右上方的日期和时间并搜索时间区,然后选择您所在的时间区,单击“设置”时间“按钮以应用。

更改设备优先级


更改子网跟踪方法

对于VPN子网,建议使用用户跟踪,而不是使用DHCP跟踪。

对于没有DHCP的子网,供应商建议禁用DHCP跟踪。使用DHCP作为默认设置新子网将自动添加到子网admin。

出租车源配置

两个流行的免费出租车来源:

1. hailataxii.com - 使用用户名和密码
2. OTX.AllenVault.com - 使用API​​键


高级搜索技能

一些例子::

  • @ fields.conn_state. 

分数

趋势

术语

统计

  • SSL到eBay.

@type:ssl和@ fields.subject:* eBay *

  • 来自设备的SSH和RDP

 @ fields.dest_port:“3389”或@ fields.dest_port:“22” 
@type:ssh或@type:RDP

  • 在过去48小时内观察到所有可执行文件的Sha1哈希
  • kerberos类型事件失败

@type:kerberos和@ fields.success:“false”

  • 查找连接的所有活动
@Fields:UID:“<connection_uid>”

  • 查找IP发送上次HTTP请求的用户代理和方法
  • 找到所有DNS服务器
  • 使用FTP查找到外部IP地址的连接 

查找分配给特定IP的用户

  1. 转到高级搜索 
  2. 搜索'@type:kerberos和@ fields.source_ip:在您感兴趣的时间内,“10.10.12.3”。 
  3. 在页面的左侧,如果单击“>“旁边的@ field.client您可以查看”得分“并查看Kerberos票证中显示的用户。 
  4. 从该页面,如果您对特定用户感兴趣,您可以单击“动作”列中的放大镜,并将结果过滤到该用户。

经过 Jon.

发表评论