第十一天作业
1.总结应急响应流程(预案,研判,遏止,取证,溯源,恢复——无先后顺序,根据实际情况进行处理)
2.总结应急响应措施及相关操作
一、总结应急响应流程(预案,研判,遏止,取证,溯源,恢复——无先后顺序,根据实际情况进行处理)
预案:在事件发生前,制定详细的应急预案是至关重要的。这包括建立应急团队、定义角色和责任、明确响应流程和步骤,并确保所有相关人员都了解其职责。
研判:一旦检测到网络安全事件,需要立即进行初步分析和判断。通过收集事件信息、评估问题的严重性以及确定事件类型和等级,以便采取相应的应对措施。
遏止:遏制阶段的目标是限制攻击的范围,防止进一步的损失。具体措施可能包括隔离受损系统、关闭网络连接等,以阻止入侵者继续破坏。
取证:在遏制之后,必须迅速收集和保存我搜索到的资料。这包括日志文件、系统状态快照和其他可能有助于后续调查的数据。
溯源:通过对恶意代码或行为的深入分析,找出攻击源并确定攻击者的身份和动机。这一过程对于理解攻击方式和改进防御策略至关重要。
恢复:最后,在完成以上所有步骤后,需要逐步恢复正常运营。这包括修复受损系统、重新配置网络设置、更新安全策略等,以防止类似事件再次发生
二、总结应急响应措施及相关操作
1.查看有无隐藏用户
2.查看系统日志观察是否有可疑操作
3.若存在,对修改内容备份,删除攻击者用户
4.查看所搭建网站的文件上传记录查找木马文件。
5.查看木马进程信息,获取攻击者ip