应急响应(日志/流量)

已于 2022-04-02 16:52:22 修改
阅读量4.7k 收藏 10
点赞数 1
分类专栏: 漏洞整理 文章标签: 应急响应
于 2022-03-25 11:50:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nigo134/article/details/123731031
版权

事件分类

  1. 有害程序事件
  2. 网络攻击事件
  3. 信息破坏事件
  4. 事件内容安全事件
  5. 设备设施故障事件
  6. 灾害性事件
  7. 其它事件

应急响应工作流程

准备阶段

  • 应急团队建设
  • 应急方案制定
  • 等级保护测评

检测阶段

  • 判断安全设备告警
  • 判断事件类型
  • 判断事件级别
  • 确定应急方案

抑制阶段

  • 阻断:封禁IP、断开网络连接.隔离失陷主机
  • 排查:排查可疑进程、排查可疑服务、审计各类日志、排查可疑账户、排查可疑文件

根除阶段

  • 修复:系统漏洞.网站漏洞
  • 更新:安全策略、威胁情报
  • 还原:操作系统.业务系统

恢复阶段

  • 恢复:恢复网络通信、恢复业务系统

总结阶段

  • 应急报告输出
  • 事件会议总结
  • 应急工作优化

日志分析简介

日志:日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息。日志文件中的记录可提供以下用途:监控系统资源;审计用户行为;对可疑行为进行告警;确定入侵行为的范围;为恢复系统提供帮助;生成调查报告;为打击计算机犯罪提供证据来源。

日志分析的目的:
在安全事件的应急处置中,日志分析的目的很明确,就是要对攻击行为进行溯源。
攻击者IP:定位攻击者,用于抓捕或者进一步溯源
攻击范围、攻击流程:摸清攻击行为,寻找过程中的安全薄弱点,进行加固防范利用的脆弱点:针对性的进行漏洞加固

最低0.47元/天 解锁文章
nigo134
关注
专栏目录
应急响应篇】流量劫持应急响应指南
大河之犬的博客
05-31 749
如果发生劫持,使用抓包工具(Wireshark)捕获浏览器访问的链路层流量,可发现对浏览器产生的单个请求, 同时会收到两个不同的 TCP 响应报文,因为伪造的第 1 个数据包先到,所以第 2 个正常的 TCP 响应数据包被客户端忽略了。在 Windows 系统中,打开【网络连接】窗口,双击【以太网】选项,在打开的对话框中单击【详细信息】按钮查看详情。DNS 劫持又称域名劫持,是指控制 DNS 查询解析的记录,在劫持的网络中拦截 DNS 请求,分析匹配请求域名,返回虚假 IP 信息或不做任何操作使请求无效。
2022全国职业技能大赛“信息安全管理与评估“--应急响应日志分析解析(高职组)
Aluxian_的博客
02-16 5065
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引!(1)当竞赛结束,离开时请不要关机;(2)所有配置应当在重启后有效;(3)除了CD-ROM/HDD/NET驱动器,请不要修改实体机的配置和虚拟机本身的硬件设置。所需的设备、机械、装置和材料所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。评分方案本项目模块分数为350分。
应急响应系统日志日志分析
weixin_43977912的博客
06-14 420
日志类型 Windows系统日志:Windows系统自带的审计日志、操作日志、故障日志。 Linux系统日志:Linux系统自带的审计日志、操作日志、故障日志。 应用日志:包括但不限于Web应用等众多繁杂的日志。 Windows系统日志 日志路径:C:\Windows\System32\winevt\Logs 必看日志:Security.evtx、System.evtx、Application.evtx 图片 图片 Linux系统日志 日志路径:/var/log 必看日志:secure、history 图
应急响应--日志分析
最新发布
lza20001103的博客
08-29 1413
应急响应--日志分析
应急响应-日志分析
懂进攻知防守
11-22 1277
日志概述在Windows系统中,日志文件包括:系统日志、安全性日志、应用程序日志:如何查看:右键我的电脑-管理-系统工具-事件查看器,或者eventvwr查看事件查看器打开Windows系统的事件查看器,右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。系统:1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
Windows应急响应 -Windows日志排查,系统日志,Web应用日志
热门推荐
wangyuxiang946的博客
04-07 2万+
Windows系统日志存放在 C:\Windows\System32\winevt\Logs\目录下,使用系统自带的【事件查看器】来查看 WIN + R,输入 eventvwr,打开事件查看器。 系统日志:记录系统进程、设备磁盘活动等 安全日志:记录安全性事件,比如用户登录/注销/权限变更 应用程序日志:记录系统安装的应用程序软件的运行日志。 4624:登录成功 4625:登录失败 4634:注销本地登录用户 4647:注销远程登录的用户 4648:使用显式凭证尝试登录 4672:新登录的用户被分配管理员权
应急响应-流量分析
qq_50765147的博客
01-28 861
应急响应中,有时需要用到流量分析工具,。当需要看到内部流量的具体情况时,就需要我们对网络通信进行抓包,并对数据包进行过滤分析,最常用的工具是Wireshark。
应急响应日志分析1
08-08
1. 内核及系统日志message日志,一般内核及大多数系统消息都被记录到公共日志文件"/var/log/messages"中,而其他一些程序消息被记录到不同的
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查篇 第02章:日志分析篇 第03章:...
网络安全应急响应实践合集.zip
09-03
应急响应木马日志溯源画像分析; 云安全架构上的应急响应.阿里云; 云平台的安全响应机制; 争分夺秒—基于SOAR的应急响应加速解决方案; 智者伐道——感知网络空间中的新威胁; HIDS视角下的应急响应
Windows应急响应手册
02-21
- **监控与检测**:持续监控系统的运行状态,包括但不限于网络流量、系统日志等,及时发现异常行为。 - **威胁评估**:对检测到的安全事件进行评估,确定其严重程度及可能的影响范围。 - **事件隔离**:一旦确认安全...
Linux应急响应工具箱
03-31
在IT领域,Linux应急响应是处理系统安全事件的关键环节,特别是在面临恶意软件攻击或系统被入侵的情况下。"Linux应急响应工具箱"是一个集合了多种工具和脚本的资源,旨在帮助管理员快速、有效地分析和应对安全问题。...
服务器响应日志,应急响应日志分析
weixin_42282482的博客
08-10 695
应急响应中经常会从日志中看到一些常见的攻击行为,在渗透测试中也会利用一些攻击工具,为了能从日志中获取更多有价值的信息,来及时确定攻击来源。日志记录格式通常为,访问的ip地址,时间,访问路径,服务器响应状态,返回数据大小。一、简单列举下常见的攻击日志1、菜刀连接记录利用菜刀连接一句话后门,在web日志中只能看到对菜刀马的post连接请求,但是具体看不到利用菜刀马做了哪些操作。从日志中只能看到连接具...
网络安全应急响应-流量分析技术
Bnessy
03-24 4335
Wireshark全流量分析 1. 时间设置 在Wireshark中看到的时间默认为Seconds Since Beginning of Capture,即时间戳为秒格式,从捕捉开始计时,以后的时间是距离第一个捕获包的时间间隔。 日期和时间(1970-01-01 01:02:03.123456):显示日期和每天的时间-时间格式(年月日,时分秒)。 时间(01:02:03.123456):只显示时间-日期格式(时分秒格式)。 自1970-01-01经过的秒数:格式为1234567890.123456,时间
应急响应日志分析专题
weixin_51339377的博客
06-01 731
应急响应日志分析专题
应急响应-win日志分析
qq_39610627的博客
02-18 164
1、Win日志自动神器LogonTracer安装步骤 https://github.com/JPCERTCC/LogonTracer/wiki/ 2、涉及文件(下载比较慢)
应急响应流量分析?你会吗?
qq_59468567的博客
03-22 342
1、如何区分菜刀、蚁剑、冰蝎、哥斯拉WENSHELL特征?(经典问题)​​​​​​​。5、说下服务器被上传webshell处置思路是什么?3、根据设备告警(WEB)如何分析流量?3、说说钓鱼邮件处置实际操作。2、流量检测的设备你了解吗?1、Windows应急响应。2、Linux应急响应。4、如何确认是否误报?
应急响应日志分析二1
08-08
应急响应日志分析二1
应急响应-流量分析与日志溯源实战技巧
lza20001103的博客
12-16 1859
应急响应-流量分析与日志溯源实战技巧
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值