1.安全设备告警
告警说明:使用powershell关闭了windows自带的防护defender(mfetp.exe)。
可以从告警中看到,执行操作的进程为公司杀软的进程。
需要询问相关负责人该服务器是不是进行了什么操作。
经确认告警原因为系统打补丁后重启,导致防病毒执行了以上操作。
2.其他排查思路(windows)
查看服务器登录记录,排查主机是否存在异常。
• 检查系统账号:检查系统账户,查看是否存在新创建的账号等异常账号。
• 检查异常端口、进程:检查系统的端口和进程,查看是否存在异常(netstat -ano/nmap)。
• 检查启动项、计划任务和服务:检查系统的启动项、计划任务和服务,查看是否存在异常。
• 检查系统相关信息:检查系统的配置信息,查看是否被修改。
• 日志分析:分析系统的日志信息,查看是否存在异常操作记录。
3.结论
安装任何杀毒软件都会存在禁用微软自带的防护的情况。