Zephyr的博客

ESM 101 概述ESM系统，资源，角色和用例。这是ESM的权威性介绍。 ArcSight Command Center用户指南 使您能够从基于Web的ArcSight Command Center管理用户，存储和归档，监控事件和系统状态等。 ESM管理员指南 说明如何设置和维护ESM。包括如何停止和启动组件，进行故障排除，配置属性，身份验证，命令参考等。 ArcSight控制台用户指南 为使用ArcSight控制台的任何人提供完整的内容创作，操作员和管理员任务信息和示例。 转发连接器配置指南 提供有关ArcSight转发连接器的常规设置和配置信息。转发连接器可以将事件从一个管理器发送到另一个管理器，发送到非ESM位置或ArcSight记录器。

Arcsight FlecConnector的日志解析开发指南，包括FlecConnector的安装、配置文件、高级特性、映射文件、Token等内容

第一章 入门 1 启动 ARCSIGHT 控制台 1 快速启动工具和标准内容 1 用例 2 第二章 在控制台中工作 3 导航 3 "导航器" 面板资源树 4 批量编辑 6 批量编辑案例或连接器 6 锁定案例组 7 SmartConnector提醒 7 重新连接到管理器 7 更改控制台显示 7 更改用户首选项 9 更改你的密码 9 更改其它用户的密码 9 设置默认编辑器和查看器 9 更改全局选项 10 设置对话框选项 12 为查看器面板设置网格选项 13 自定义活动列表的默认选择 15 设置日期和时间格式 16 设置纬度和经度选项 16 配置事件图 17 设置通知弹出窗口 19 管理热键 19 为常用资源添加快捷方式 20 修改自定义快捷方式 22 删除自定义快捷方式 24 激活新的快捷方式架构 25 共享自定义快捷方式架构 26 查看 26 查看面板 26 控制台外观 28 检查和编辑 28 检查/编辑功能和实用程序概述 28 在事件检查器、资源编辑器或 CCE 中搜索字段 30 获得更多帮助 31 控制控制台 31 使用网络工具 33 运行一个工具命令 34 添加或编辑工具 35 保持知情 37 确认通知 37 使用笔记 38 许可证追踪 39 许可证跟踪通知 39 许可证状态跟踪的标准报表 39 使用文件菜单 40 使用编辑菜单 40 使用 "视图" 菜单 41 使用窗口菜单 42 使用 "工具" 菜单 43 使用 "系统" 菜单 44 使用 "帮助" 菜单 44 使用右键单击上下文菜单 45 编辑资源时使用高级选择器 48 键盘快捷键 (热键) 48 为资源创建快捷方式 50 显示最近查看的资源 50 向收藏夹列表中添加资源 51 从控制台打印 51 打印资源的导航树视图 52 打印资源定义 52 打印网格视图 53 打印条件树摘要 53 使用列翻转限制格式化网格视图打印输出 54 保存和发送设置 55 错误和警告消息 56 第三章 管理用户和组 57 管理用户组 57 用户 59 创建或编辑用户 60 重置用户密码 62 移动或链接用户 62 停用和重新激活用户 63 删除用户 64 第四章 管理权限 64 编辑访问控制列表 (ACL) 64 授予或删除资源权限 65 授予或删除操作权限 66 授予或删除用户组权限 67 添加或删除强制筛选 69 对排序字段集的权限 72 共享资源 72 控制具有部署数据监视器权限的人员 73 升级如何影响数据监视器部署权限 74 导入的数据监视器的部署权限 75 第五章 建模网络 75 网络模型 76 资产 76 自动创建资产 77 资产老化与模型信心 79 资产范围 80 区域 80 动态和静态区域 81 网络 81 资产模型 82 位置 82 漏洞 82 资产类别 82 分配给资产、资产范围和资产组的资产类别 83 指定给区域的资产类别 83 使用资产填充网络模型 83 基于 ArcSight 控制台的方法 84 手动使用网络建模资源 84 在使用网络建模向导的批处理中 85 基于SmartConnector的方法 85 使用资产模型导入 FlexConnector 85 自动从漏洞扫描器报表 86 ArcSight辅助方法 86 作为来自现有配置数据库的存档文件 87 使用向导填充网络模型 87 指定 CSV 列类型 88 使用页眉指定列类型 88 在一个类别列中指定多个类别 89 在向导中分配列类型 89 区域 CSV 文件格式 90 区域 CSV 文件的示例 92 资产 CSV 文件格式 92 资产 CSV 文件的一个示例 94 动态区域中的静态寻址 94 资产范围 CSV 文件格式 94 资产范围 CSV 文件的示例 96 增加显示的行数 96 要导入的数据摘要 96 导入到 ArcSight 管理器中的网络数据 96 使用资产、位置、区域、网络、漏洞和类别 97 管理资产 98 资产自动创建 100 使用 IP 地址或主机名创建资产 108 保留先前的资产 110 在通用条件编辑器中选择资产 112 自动分区资产 113 自动分区导入资产 114 管理资产组 114 管理漏洞 116 在公共条件编辑器中选择漏洞 117 处理易受攻击的资产 118 管理漏洞组 119 显示受影响的资产 120 报表漏洞扫描程序的输出 120 报表资产漏洞 121 管理区域 121 管理网络 122 管理资产类别 123 管理位置 124 管理客户 125 第六章 管理 SMARTCONNECTORS 126 选择和设置 SMARTCONNECTOR 参数 126 配置SmartConnector 126 连接器编辑器选项卡 127 连接器选项卡配置字段 128 默认内容选项卡配置字段 129 SmartConnector处理类别 142 SmartConnector 时间间隔选项 143 管理 SMARTCONNECTOR 筛选条件 144 添加 SmartConnector 筛选条件 144 删除 SmartConnector 筛选条件 145 从事件代理程序中消耗事件 145 设置特殊严重性级别 146 将模型映射发送到 SMARTCONNECTORS 149 将控制命令发送到 SMARTCONNECTORS 149 获取连接器状态 149 发送标准流控制命令 150 技术支持命令 152 映射命令 153 管理SMARTCONNECTOR组 157 导入和导出 SMARTCONNECTOR 配置 158 导入 SmartConnector 配置 158 导出 SmartConnector 配置 159 SmartConnector筛选 159 使用附加数据字段 160 升级SMARTCONNECTOR 160 升级过程概述 160 SmartConnector升级过程 162 回滚到以前的版本 162 故障排除 163 在安装的 SmartConnectors 上获取状态和版本 163 第七章 管理通知 164 管理收到的通知 164 管理通知组 165 管理通知目的地 167 更改通知和确认设置 168 测试通知组和目标 169 管理升级级别 170 第八章 监视事件 170 监视活动频道 170 创建或编辑活动频道 171 查看活动频道 173 监视活动频道中的事件 174 使用视图 174 调查视图 175 查看被利用的漏洞 176 查看目标资产 176 筛选活动频道 176 使用内联筛选筛选活动频道 177 将字段集应用于活动频道 179 使用活动的频道标题 179 在活动频道中排序事件 181 添加、替换或移除列 182 调整、显示或隐藏列元素 183 使用活动频道菜单命令 183 将事件导出到文件 186 定义网格字段选项 187 保存活动频道和筛选的副本 188 优化频道性能的最佳做法 188 活动频道查询时间范围 189 活动频道筛选 189 筛选索引字段 189 在联接字段上进行筛选 189 持续更新时间参数 189 结束时间或管理器接收时间 189 在活动频道中排序 190 使用标准内容中的“实时”频道 190 i/o 子系统性能 190 诊断: 从基本频道特性开始 191 自定义列 191 创建自定义列 191 显示自定义列 192 高级示例: 使用速度模板创建自定义列 192 使用控制面板 193 监视控制面板 193 管理控制面板 196 创建或编辑控制面板 196 将数据监视器添加到控制面板 198 将查询查看器添加到控制面板 200 控制面板显示格式 201 管理控制面板组 202 使用自定义视图控制面板 203 显示自定义视图控制面板 204 还原到常规控制面板视图 205 使用自定义视图控制面板 205 排列自定义视图控制面板 205 加载背景图像 206 选择以前上载的背景图像 206 验证背景图像 207 删除背景图像 207 自定义视图控制面板上下文菜单选项 207 使用数据监视器 208 创建数据监视器 208 编辑数据监视器 211 删除数据监视器 212 从数据监视器管理深化 212 添加深化 212 Editing a Drilldown 217 Changing the Default Drilldown 217 Sorting or Changing the Order of Drilldowns 218 Removing a Drilldown 219 移动或复制数据监视器 219 启用或禁用数据监视器 220 重写数据监视器的最后一个状态 221 管理数据监视器组 221 优化数据监视器事件筛选的评估 223 需求 223 自动优化过滤条件 224 追踪优化 224 禁用优化功能 225 使用图表 226 绘制活动频道的内容 226 绘制数据监视器的内容 227 探索图表背后的事件 229 使用查询查看器 229 攻击绘图 229 创建静态事件图 229 创建实时事件图 230 事件图注释 231 第九章 在活动频道中选择和调查事件 232 在活动频道中选择事件 232 显示事件详细信息和规则链 232 运行 ARCSIGHT 调查搜索 234 调查会话事件 234 协作进行事件 (事件注释) 235 注释事件 236 标记类似事件字段 237 注释保留 238 查看事件的批注 238 创建或编辑阶段 238 使用事件有效负载 240 将数据字段导出到 CSV 文件中 241 获取知识库文章 242 第十章 过滤事件 243 创建或编辑筛选 243 创建和编辑内联筛选 244 应用筛选 245 移动或复制筛选 246 删除筛选 247 调试筛选以匹配事件 247 导入和导出筛选 249 管理筛选组 249 调查视图 251 使用事件属性显示新的筛选视图 251 使用事件属性优化筛选 252 筛选出 ArcSight 事件 252 将事件属性添加到过滤条件 253 修改视图 254 第十一章 查询 254 查询如何工作 255 一起使用查询和趋势报表 255 在查询查看器中使用查询 255 构建查询 256 查询设置 256 常规查询属性 257 查询字段 260 SELECT查询字段 261 查询结构（SELECT） 262 应用函数选择列 263 按查询字段分组 264 查询结构（GROUP BY） 265 将基于时间的函数应用于GROUP BY列 266 按查询字段排序 267 查询结构（ORDER BY） 268 将列函数应用于排序 269 排序 269 查询条件 269 在字段上创建条件 270 创建组条件 271 关于创建条件的提示 271 查询变量 271 编辑查询 272 示例: 为列表上的查询创建与资产相关的条件 273 第十二章 查询查看器 274 预构建和自定义查询查看器 275 标准内容 275 自定义查询查看器 275 根据需要自定义查询查看器 275 查询的 inActiveList 条件 276 管理查询查看器 276 查询查看器设置 277 查询查看器属性 278 查询查看器字段 280 排序选项 282 基线 282 查询查看器变量 283 删除查询查看器 283 定义和使用基线 283 为什么基线有用 284 规划基线比较 285 添加基线 286 将显示的结果与基线进行比较 287 显示或隐藏基线列 288 排序基线数据 288 过滤基线数据 289 删除基线 289 从查询查看器管理明细 290 添加明细 290 编辑明细 293 更改默认明细 294 排序或更改明细的顺序 294 删除明细 295 查看查询查看器结果 295 筛选查询查看器结果 298 直接从查询查看器查看事件或资源 299 使用查询查看器结果 300 结果表格格式 300 表格中的 "分析频道" 选项 301 列排序、显示和编辑选项 303 图表格式的结果 305 查询查看器疑难解答 306 将查询

1. BACKTRACK 5系统相关 5 1.1 U盘设置可存储 5 1.2 BACKTRACK5汉化 5 1.3 系统启动自动进入图形界面 6 1.4 安装中文输入法SCIM 6 1.5 设置SCIM支持万能输入法 6 1.6 安装FIREFOX中文版 7 1.7 安装OPENOFFICE 7 1.8 设置OPENOFFICE支持中文输入法 8 1.9 安装虚拟机工具 9 1.10 ADOBEREADER安装 9 1.11 NESSUS 5安装 9 1.12 BACKTRACK5更新 10 1.13 BACKTRACK5更新源 10 1.14 查看自启动项 10 1.15 配置SSH登陆 11 2. METASPLOIT使用经验 12 2.1 METASPLOIT常用命令 12 2.1.1 更新MSF 12 2.1.2 打开MSF控制台 12 2.1.3 查看MSF版本 12 2.1.4 获取MSF帮助 13 2.1.5 搜索一个漏洞的方法 15 2.1.6 使用一个漏洞 15 2.1.7 查看选项 15 2.2 METASPLOIT应用举例 16 2.2.1 利用MS08-067漏洞溢出一个主机 16 2.2.2 Msfpayload创建EXE木马 17 2.2.3 Msfpayload创建网页木马 20 2.2.4 把普通shell升级为meterpreter shell 22 2.2.5 Meterpreter shell的高级应用 23 3. BACKTRACK 5工具的使用 26 3.1 SQLMAP 26 3.1.1 安装SQLMAP的形化界面 26 3.1.2 打开SQLMAP 26 3.1.3 SQLMAP命令行使用手册 27

由于时间原因，此文档未编写完成，先放出一部分内容供大家参考。 目 录 1. 前言 3 2. BackTrack 5系统相关 4 2.1 U盘设置可存储 4 2.2 BackTrack5汉化 4 2.3 BackTrack5设置启动自动进入图形界面 5 2.4 安装中文输入法SCIM 5 2.5 设置SCIM支持万能输入法 5 2.6 安装Firefox中文版 6 2.7 安装OpenOffice 6 2.8 设置OpenOffice支持中文输入法 7 2.9 安装虚拟机工具 8 2.10 AdobeReader安装 8 2.11 Nessus 5安装 8 3. Metasploit使用经验 9 3.1 Metasploit基础知识 9 3.1.1 Metasploit用户接口 9 3.1.2 Metasploit基本命令 11 3.2 Metasploit应用举例 15

1. WINDOWS环境准备 4 1.1 IIS安装 5 1.2 PHP安装 6 1.3 MYSQL服务器安装 14 1.4 DVWA安装 21 2. LINUX环境准备 25 3. 实战演练 25 3.1 实验须知 25 3.2 COMMAND EXECUTION VULNERABILITY 27 3.2.1 漏洞介绍 27 3.2.2 攻击实战 27 3.2.3 PHP源代码 28 3.3 CROSS SITE REQUEST FORGERY 31 3.3.1 漏洞介绍 31 3.3.2 攻击实战 31 3.3.3 PHP源代码 32 3.4 FILE INCLUSION 33 3.4.1 漏洞介绍 33 3.4.2 攻击实战 33 3.4.3 PHP源代码 33 3.5 SQL INJECTION 34 3.5.1 漏洞介绍 34 3.5.2 攻击实战 34 3.5.3 PHP源代码 39 3.6 SQL INJECTION(BLIND) 39 3.6.1 漏洞介绍 39 3.6.2 攻击实战 40 3.6.3 PHP源代码 40 3.7 FILE UPLOAD 40 3.7.1 漏洞介绍 40 3.7.2 攻击实战 40 3.7.3 PHP源代码 42 3.8 REFLECTED CROSS SITE SCRIPTING (XSS) 43 3.8.1 漏洞介绍 43 3.8.2 攻击实战 43 3.8.3 PHP源代码 44 3.9 STORED CROSS SITE SCRIPTING (XSS) 45 3.9.1 漏洞介绍 45 3.9.2 攻击实战 45 3.9.3 PHP源代码 46 附录： 48 PHP网页木马 48