场景概述
高级持续性威胁(APT)通常具有长期潜伏、多阶段攻击的特点。
QRadar 多阶段检测
阶段检测矩阵
| 阶段 | 检测指标 | QRadar 方法 |
|---|---|---|
| 初始入侵 | 钓鱼邮件、漏洞利用 | 邮件网关日志、IDS 告警 |
| 建立据点 | C2 通信 | Flow 分析、DNS 监控 |
| 提升权限 | 异常进程、UAC 绕过 | Windows 安全日志 |
| 内部侦察 | 端口扫描、账号枚举 | 规则检测 |
| 横向移动 | SMB/PSExec/WMI | Flow + Event 关联 |
| 数据收集 | 大量文件访问 | 文件审计日志 |
| 数据外泄 | 大流量上传 | Flow 分析 |
关联分析查询
-- 查找多阶段攻击链
SELECT sourceip,
MIN(starttime) as first_seen,
MAX(starttime) as last_seen,
COUNT(DISTINCT QIDNAME(qid)) as event_types,
ARRAY_AGG(DISTINCT QIDNAME(qid)) as attack_chain
FROM events
WHERE sourceip IN (
SELECT sourceip FROM events
WHERE magnitude >= 7
GROUP BY sourceip
HAVING COUNT(DISTINCT QIDNAME(qid)) >= 3
)
GROUP BY sourceip
ORDER BY event_types DESC
LAST 7 DAYS