应急响应-应急响应流程(各个阶段与实战)

于 2024-09-01 13:56:09 发布
阅读量530 收藏 8
点赞数 16
分类专栏: 网络安全 # 应急响应 # 主机安全 文章标签: 网络 安全 应急响应
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lady_killer9/article/details/140084944
版权

目录

前言

做入侵检测时会有一些攻击告警,需要做应急响应。本文从流程规范角度来浅谈一下应急响应的步骤,介绍应急需要准备哪些知识,以及常见攻击流程示例。后面几章留坑,持续更新中…

应急响应PDCERF模型:
来源见参考

  • P(PreParation准备)
  • D(Detection检测)
  • C(Containment遏制)
  • E(Eradication根除)
    R(Recovery恢复)
    F(follow-up跟踪总结)

根据PDCERF模型进行优化,分为以下几个阶段。

准备阶段

此阶段预防为主,搜集威胁情报,定期漏洞扫描,内部安全宣讲等。作为应急响应人员,需要
收集日志,熟悉操作系统下的应急相关命令,熟悉应急止损工具。

应急响应-主机安全之系统及进程排查相关命令(Linux操作系统-初级篇)
应急响应-主机安全之文件相关命令(Linux操作系统)
应急响应-主机安全之网络相关命令(Linux操作系统)

检测阶段

此阶段进行入侵检测,通过安全设备(IDS、NIDS等)对攻击行为进行告警。
主机安全-开源HIDS字节跳动Elkeid安装使用

研判分析

收到告警时需要进行研判分析,判断是否为真实攻击事件。主要从主机、网络、文件三个方面来判断。
容易判断时记录结论,不易判断时询问机器负责人,避免误判。

定损止损(对应遏制、根除阶段)

定损

时间范围
需要确定攻击者攻击开始时间和结束时间。

资产范围
需要确定影响资产的范围,例如几台主机,在什么网络环境。

止损

止损手段封禁ip,踢出账号,网络隔离,重装操作系统等

攻击还原

此阶段需要找到完整的攻击路径,在测试环境复现攻击。对检测阶段也是一种反馈,协助在攻击路径中的关键点添加检测或拦截。

清理恢复

清理攻击痕迹,例如恶意进程、恶意文件。恢复是止损时的逆操作,如做了网络隔离,需要恢复。

总结复盘

总结复盘时需要包含以下信息:

  • 时间范围
  • 资产范围
  • 攻击路径
  • 攻击手法
  • 止损情况
  • 恢复情况
  • 待办

实战讲解

进程

ssh暴力破解

应急响应-爆破漏洞应急响应流程(以SSH爆破为例)

命令混淆

派生恶意命令

命令注入

网络

文件

webshell

C2脚本

木马

参考

《网络安全应急响应技术实战指南》-奇安信安服团队
gitbook-应急响应实战笔记
github-应急响应指南
github-Windows 应急响应手册

PDCERF

lady_killer9
关注
  • 16
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
应急响应基本流程
m0_55854679的博客
05-11 838
应急响应实战笔记 应急响应工具包 文章目录背景简介流程分析准备阶段检测阶段抑制阶段根除阶段恢复阶段总结阶段案例分析红队角度蓝队角度 背景简介 当前随着时代的发展和国家信息化进程的加速,计算机系统和网络已经成为重要的基础设施。而伴随着当下频繁发生的网络安全事件,各个地区和单位对网络安全应急响应也更为重视,一个能够及时预警、快速响应、协同配合、高效处置、尽快恢复的应急响应能够避免造成重大影响和损失。 流程分析 准备阶段 准备阶段需要做的是主要是明确资产范围,对可能产生安全问题的地方进行加固。 检测阶段 通过日
【愚公系列】2024年03月 《网络安全应急管理与技术实践》 031-网络安全应急技术与实践(应急预案演练)
热门推荐
时光隧道
02-19 5万+
应急预案是为应对突发事件或紧急情况而制定的一套应急措施和操作流程的文件,它用于指导和组织相关人员在突发事件发生时进行应对和处理。应急预案通常包括对应急响应组织机构的设立与职责分工、应急资源的调配与使用、应急通信与信息报送、应急处置措施的规定等内容。应急预案的编写是指依据突发事件的特点和可能发生的情况,制定相应的应急措施和操作流程,并编写成一份详细的文件。编写过程中需要综合考虑各种可能发生的紧急情况,明确各个部门和人员的职责和行动步骤,确保在突发事件发生时能够做出快速、有效的应对。
网络安全系列】浅谈应急响应
读万卷书,行万里路。
03-03 2594
文章目录1 Why?2 What?3 How? 应急响应包含组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施。,是信息安全从业者的常见工作之一。应急响应并非仅仅是在系统被黑之后做一系列的补救措施,而是需要在平时就进行被黑的准备和避免被黑。 各大厂商通常的做法就是成立应急响应中心 SRC(Security Response Center),来尽量避免被黑。 1 Why? 问1:为什么需要应急响应流程? 需要了解为什么需要应急响应,那就需要从应急响应的目的入手:尽可能保证网站系
应急响应-web&win&linux
tj2718647721的博客
08-24 218
--2.常见分析:计算机账户,端口,进程,网络,启动(木马需要运行,除了伪装成正常文件就是自启动),服务,任务,文件(文件权限)等安全问题。---1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等)。---腾讯电脑管家:http://bbs.guanjia.qq.com/forum-2-1.html。---火绒安全论坛:http://bbs.huorong.cn/forum-59-1.html。---其他日志该怎么分析?
网络安全应急响应
赤赤三的博客
03-30 1478
应急响应(是有一整套流程的): 原理: 一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施 阶段: 准备->启动->抑制->根除->恢复->跟进 准备应急工具,相应的应急文档、合同、保密协议,开会沟通 启动:讨论这个是怎么进来的 抑制:切断受感染主机,拔网线,网络隔离 根除:查找病毒木马,分析日志,溯源,打补丁 恢复:业务恢复 跟进:监控,看是否还会进来 详细流程: 准备阶段: ..
应急响应与恢复策略
## 1.1 应急响应与恢复的基本概念 在数字化时代,网络安全威胁呈指数级增长,企业面临着日益复杂的安全挑战。应急响应是指在面临安全事件时,组织及时采取措施以限制损失并加快系统恢复的能力。恢复策略则是针对...
安全漏洞管理与应急响应
本章将介绍安全漏洞管理与应急响应的基础概念与背景,旨在使读者全面了解和理解安全漏洞管理与应急响应的重要性与必要性。同时,本章也会概述本文的整体结构与内容,以便读者更好地把握文章的脉络与取向。 ## 1.3 ...
自然灾害应急演练方案与流程图.doc
12-07
【自然灾害应急演练方案与流程图】的文档是一个关于如何规划和执行自然灾害应急演练的详细计划,主要用于提升组织在面对突发自然灾害时的响应能力和救援效率。这个方案特别关注了防汛应急,旨在确保人员安全,减少...
网络压缩之网络剪枝(network pruning)
最新发布
前行居士
08-31 449
网络剪枝(network pruning)就是要把网络里面的一些参数剪掉。剪枝就是修剪的意思,把网络里面的一些参数剪掉。为什么可以把网络里面的一些参数剪 掉呢?这么大的网络里面有很多很多的参数,每一个参数不一定都有在做事。参数这么多的 时候,也许很多参数只是在划水,什么事也没有做。这些没有做的参数放在那边,就只是占空 间而已,浪费计算资源而已。为何就把它们剪掉呢?所以网络剪枝就是把一个大的网络中没 有用的那些参数把它找出来,把它扔掉。人刚出生的时候,脑袋是空空的,神经元跟神经元间 没什么连接
网络原理 - 初识
2302_77179144的博客
08-28 944
计算机之间通过网络来传输数据,也称为网络通信。根据网络互连的规模不同,可以划分为局域网和⼴域网。所谓 “局域网” 和 “广域网” 只是⼀个相对的概念。
如何将十六进制的乱码转换成汉字
2401_85258690的博客
08-28 1230
可以看出,接收到的报文第一行包含了我们想要的信息,我们需要将。在TCP通信时,抓包得到的请求报文,我们需要对其进行分析,中心思想为:剔除%,用strtol将16进制乱码进行转换。
服务器远程管理
m0_64827698的博客
08-26 2029
SSH两种级别的安全认证:基于口令(口令在网络上传播,易受中间人攻击),基于密钥(传公钥,公钥是否相同,公钥加密质询,私钥解密)(密钥不在网络上传)2.启用服务services.msc(telnet)/配置远程桌面服务gpedit.msc(rdp)/使⽤SSH,你可以把所有传输的数据进⾏加密,这样“中间 ⼈”这种攻击⽅式就不可能实现了。实验总结:在windows开启telnet服务(2019不支持),RDP服务,SSH。SSH协议允许⽤户通过配置⽂件⾃定义选择加密算法,以优化安全性和性能。
在vue3中封装WebSocket
qq_63026743的博客
08-28 651
vue3中封装WebSocket
33.python socket
笔生花的博客
08-27 1814
python socket 心跳包 数据包
Linux网络:TCP & UDP socket
盒马的博客
08-27 1272
讲解Linux中TCP与UDP的套接字相关接口
在Linux中杀死占用某个端口的进程
靖妖傩舞
08-28 574
选项表示强制终止进程,但这种方式可能会导致数据丢失或其他不良后果,所以在使用时要谨慎。确定要杀死的进程 PID。从上述步骤中获取到占用端口 9997 的进程 PID。
【CVPR‘24】BP-Net:用于深度补全的双边传播网络,新 SOTA!
梁瑛平的博客
08-28 662
深度补全任务旨在从稀疏的深度测量数据和同步的彩色图像中生成密集的深度图。现有的最先进方法多为基于传播的,通常作为对初始估计的密集深度的迭代改进。然而,这些初始深度估计通常直接将卷积层应用于稀疏深度图。在本文中,我们提出了一种双边传播网络(BP-Net),在最早阶段进行深度传播,以避免直接在稀疏数据上进行卷积。具体而言,我们的方法通过一个非线性模型从附近的深度测量中传播目标深度,该模型的系数由一个多层感知器生成,并基于辐射差异和空间距离进行调整。
SSH是什么?
思索的涟漪,突破自我
08-28 717
SSH的工作原理可以简单理解为,它在用户和服务器之间建立了一条“安全隧道”,通过这条隧道传输的数据都被加密,防止中间人攻击或数据泄露。公钥认证的原理是用户在本地生成一对密钥,其中公钥存放在服务器上,私钥则保存在本地。在现代互联网环境中,安全性越来越受到重视,SSH凭借其强大的加密能力和灵活的认证方式,成为了维护网络安全的重要工具之一。使用SSH时,用户只需要在终端或命令行界面输入简单的命令,就可以连接到远程服务器,执行各种操作,如文件传输、远程执行命令,甚至通过端口转发实现复杂的网络功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lady_killer9

感谢您的打赏,我会加倍努力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值