安全应急响应

企业安全应急响应流程

1.事件发生
2.收集时间信息，分析是否为安全事件
3.是否上报法务部、各部门
4.对于安全员来说需要处理事件，修补漏洞，清除后门
5.处理事件后，关闭事件，并编写应急响应报告

分析方向

• find
• 文件日期
• 文件增改
• 最近使用文件
• find / -mmin -2 从根目录开始查找，并且指定事件为两分钟
• useradd test1 假设先创建一个用户
• find / -mmin -2 | grep etc

• ls --full-time /etc/passwd 查看文件的修改时间

• md5sum passwd 通过前后的md5值作比较发现值变化

日志分析

• cat /var/log/xxxx.log

Linux系统日志分析

• cd /var/log 存放Linux的所有日志文件
• cat secure | grep Fa 查看安全日志中登录失败的记录

windows系统日志分析

应用日志分析

• Apache
• cd /var/log/httpd
• ls
• cat error_log
• cat access_log | wc -l 查看进入请求应用日志的次数
  

进程分析

top\ps\netstat -ntplu \systemctl list -unit-files\systemctl status
CPU或内存资源占用过多、时间过高
进程的路径不合法
正在与运行的进程
正在运行的程序

计划任务

• linux
• cd /etc/cron.d
• cd /etc/crontab

• windows

文件哈希

• Windows
  certutil -hashfile .\inst.ini win10查看哈希
  

身份信息分析

本地以及域账号用户
异常的身份验证

• linux
• cat /etc/passwd 查看本地用户

• Windows

网络分析

网络设备配置
DNS配置
路由配置
RDP\VPN\SSH等会话

• linux
• ifconfig 查看IP信息
• cd /etc/sysconfig/network-scripts/ 网卡配置文件
• ls
• cat ifcfg-ens33 查看网卡信息
• cat /etc/resolv.conf 查看DNS信息
• route -n 查看路由信息
  

监听端口和相关服务
最近新建的网络连接

• netstat -an

• windows

配置分析

• LINUX
  查看linux SE ,Iptables等的配置
  

查看环境变量

• Windows
  打开设置里的更新与安全的防火墙查看

监控分析

zabbix 监控查看分析

安装zabbix

rpm -Uvh https://repo.zabbix.com/zabbix/5.0/rhel/7/x86_64/zabbix-release-5.0-1.el7.noarch.rpm
yum clean all
yum install zabbix-server-mysql zabbix-agent
yum install centos-release-scl
vim /etc/yum.repos.d/zabbix.repo

yum install zabbix-web-mysql-scl zabbix-apache-conf-scl
mysql -uroot -p
create database zabbix character set utf8 collate utf8_bin;
create user zabbix@localhost identified by ‘zabbix’;
grant all privileges on zabbix.* to zabbix@localhost identified by ‘zabbix’;
show databases;
select user,host from mysql.user;

quit;
vim /etc/zabbix/zabbix_server.conf
DBHost=localhost
DBHost=localhost
DBUser=zabbix
DBPassword=zabbix
systemctl restart zabbix-server zabbix-agent httpd rh-php72-php-fpm
systemctl status firewalld.service


vim /etc/opt/rh/rh-php72/php-fpm.d/zabbix.conf

gunzip create.sql.gz

导表

使用zabbix