奇安信天眼实战指南：从告警研判到威胁狩猎的面试核心解析

1. 奇安信天眼平台基础字段解析

刚接触奇安信天眼平台时，面对密密麻麻的告警信息，很多新手都会感到无从下手。其实只要掌握几个核心字段的含义，就能快速理清网络流量中的关键信息。我在实际工作中发现，90%的告警分析都离不开sip、dip、sport、dport这四个基础字段。

**sip（源IP）和dip（目的IP）就像快递单上的寄件人和收件人地址。记得有次处理内网扫描告警，发现sip是10.1.1.100，dip是10.1.1.0/24网段，立刻就能判断这是内网主机在扫描其他设备。而sport（源端口）和dport（目的端口）**则像是快递的寄出窗口和接收窗口。比如看到dport=3389，马上联想到可能是RDP暴力破解。

DNS协议分析时有个容易混淆的字段——dns_type。这个字段其实是个状态标记：0表示DNS请求，1表示DNS响应。我遇到过同事把响应包误判为攻击流量的情况，就是因为没注意这个标记。而addr字段则记录了域名对应的实际IP地址，这里要注意一个域名可能对应多个IP，分析时要把所有关联IP都排查一遍。

2. 告警有效性判断实战技巧

面对每天上千条告警，如何快速识别真正需要处理的威胁？根据我的经验，可以从告警状态字段入手。天眼平台的告警状态分为四种：成功、失败、尝试、未知。很多新人会忽略"尝试"状态，其实这类告警最值得关注——它意味着攻击可能已经部分得手。

有个经典案例：某次看到大量RDP"尝试"登录告警，最初团队以为是普通爆破就没重视。后来发现攻击者其实已经通过弱口令进入了几台主机，正在进行横向移动。所以我的经验法则是：失败告警可以批量处理，但"尝试"类告警必须逐个分析。

另一个常见陷阱是DNS服务器告警。看到目的IP是114.114.114.114、端口53的告警，新手可能会直接封禁。但这是典型的DNS服务器流量，正确做法是追溯真实的请求源IP。我建议建立一份已知公共服务IP白名单，能节省大量分析时间。

3. 内网威胁狩猎实战方法

内网横向移动是高级威胁的典型特征，天眼平台主要通过四类告警来识别：

• CS相关告警：如Cobalt Strike心跳检测
• 隧道类告警：异常加密流量
• 内网漏洞扫描：针对内部系统的扫描行为
• 暴力破解：针对内网服务的密码尝试

判断资产是否失陷，我总结了一套"三看"法则：

1. 看外联：是否持续连接恶意IP
2. 看会话：是否存在异常shell连接
3. 看行为：是否有隧道类流量

曾通过这个方法发现过一起APT攻击：某台服务器定期向境外IP发送加密流量，进一步检查发现是攻击者建立的SSH隧道。这类案例说明，内网威胁狩猎不能只看单次告警，要关注长期行为模式。

4. 高级查询与威胁研判

天眼的日志检索功能非常强大，但要用好运算符才能事半功倍。AND、OR、NOT这三个运算符必须大写，这是很多新人容易出错的地方。比如要查源IP为A且目的IP为B的日志，正确的写法是：ip(A) AND dip(B)。

对于模糊查询，可以使用星号通配符。有次调查钓鱼邮件，就是用from:*@phishing.com找到了所有相关邮件。IOC（入侵指标）匹配是威胁研判的利器，它能自动识别已知恶意特征。但要注意IOC也有误报可能，需要结合其他证据综合判断。

不出网主机的检测是个难点，这时要特别关注正向代理流量。有个案例就是通过分析内部主机对代理服务器的异常请求，发现了已经潜伏数月的攻击者。对于0day攻击，天眼虽然不能直接识别，但可以通过异常行为日志进行事后分析。