蓝队应急部分思路以及流程

已于 2023-12-03 11:07:14 修改
阅读量92 收藏
点赞数
文章标签: windows linux 安全性测试 安全 web安全 系统安全
于 2023-12-03 11:05:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pythonZLX/article/details/134762176
版权

常规应急思路

首先通过安全设备拦截攻击包体和日志分析,了解攻击者具体进行了什么样的攻击,通过黑白结合模拟方法进一步判断攻击者的攻击方式。复现之后对漏洞进行修复,对攻击者进行溯源。

首先查看安全设备上报警的事件,看看具体报文,具体日志,判断攻击类型,攻击方式什么的,例如上次护vv的时候,通过深信服的态势感知设备,拦截了一个文件上传,查看包体是一个文件名应该是123.php的,类型是img图片格式,内容是123456,判断应该是一个黑客的测试文件,查看日志,发现这是第一次上传,首先封锁ip,然后自己复现一遍并修复漏洞

Windows应急思路

1、首先检查是否存在弱口令

2、检查系统登入日志

3、查看可疑账户

4、查看本地用户组是否存在隐藏用户

5、查看管理员登入时间是否存在可疑时间点

6、查看可疑计划任务

7、对中间件日志进行分析

Linux应急思路

1、分析安全日志,是否存在爆破成功

2、查看etc/passwd是否存在黑客恶意账户

3、查看命令执行记录

4、分析中间件日志

5、查看历史计划任务

6、分析数据库的日志

Web应急思路

1、通过中间件日志锁定webshell

2、找到攻击者ip地址

3、回溯操作

4、梳理攻击流程

最后附上一张蓝队常规流程图片

阿斯顿法国红酒快
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
面试题(三)
Thewei666的博客
05-14 680
这里就如实回答的工作经历,参与的项目,尽量简短的把你参与的项目和成果说出来就行。
思路总结-理论篇
千寻的博客
08-29 726
文章目录0x01 信息收集0x02 渗透测试0x03 加固0x04 研判日志安全设备木马后门流量分析应急响应0x05 溯源0x06 反制 0x01 信息收集 whois查询 子域名查询 DNS/子域名信息查询 端口扫描 网络空间搜索引擎 扫描敏感目录 roots.txt 网站备份压缩文件 git/svn导致文件泄露 ds_store导致的文件泄露 web-inf/web.xml泄露 其他源码泄露 特定组件的路径 指纹识别 SSL/TLS证书查询 资产发现 根据端口号进行探测 网络拓扑 0x02
2023年红对抗-HW基本知识点
旺仔Sec&blog
03-23 893
Apache Shiro 是Java 的一个安全框架。Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与Web 集成、缓存等。
工程师在网络安全攻防演练中进行应急响应时应该采取的步骤
m0_66614090的博客
06-06 303
工程师在网络安全攻防演练中进行应急响应时应该采取的步骤
window入侵排查
u012207466的博客
06-12 2343
## 第1篇:window入侵排查 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell、后台弱口令 系统入侵:病毒木马、勒索软件、远控后门、系统命令执行、反序列化漏洞 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。 ### 0x01 入侵排查思路 ####...
防守技术-3-应急响应
qq_57410330的博客
04-09 1025
关于防守的应急响应
2022护网日记,护网工作内容、护网事件、告警流量分析
君逍遥o
10-31 9633
护网日记,护网工作内容、护网事件、告警流量分析
HW防守思路 .pdf
04-17
需要建立即时通讯工作群,确定好监测、研判、封禁、配合整改、应急处置分组和具体责任人,包括用户谁负责任牵头。 自查和整改阶段 在自查和整改阶段,需要对应用系统进行梳理,根据前期准备工作形成资产...
044-应急响应之“雄鸡夜鸣”.pdf
09-20
044-应急响应之“雄鸡夜鸣”.pdf
2023年HW面试题
04-26
一般分为初级监测组,中级研判组,高级应急溯源组; 流程介绍:一般开始前会进行资产梳理,并通过漏洞扫描,渗透测试以及基线检查等做一些自查,一是可以减少暴漏面,二是减少一些风险点。有些厂商还会利用几天...
分析辅助工具箱BlueTeamTools
10-19
近几年网络攻击事件越来越多,各种变形的漏洞利用payload出现,让分析难度也越来越高。此款工具重点解决分析工作中的一些痛点,比如让大家头疼的加密数据包解密问题,netstat -an无ip对应的国家与城市的物理...
分析工具箱v1.0-shiro解密工具
03-03
分析工具箱v1.0——Shiro解密工具 (应急响应工具集)
护网行动 | 应急响应流程概述
weixin_56233402的博客
04-16 1370
回顾并整合应急响应过程的相关信息,进行时候分析总结和修订安全计划、政策、程序、并进行训练,防止入侵的再次发生事件会议总结、响应报告输出、响应工作优化。
学习笔记之应急响应案例
xf555er的博客
08-13 1163
相对长连接而言,指的是在数据传送过程中,只需要发送数据时间,才会去建立一个连接,数据发送完毕后则断开连接,这样的短连接对于系统维护来说是很难被察觉到的管理员在出口waf检测到服务器不停向外部发送请求,进入服务器发现短连接进程。...
网络安全应急响应实施过程_在互联网安全事件应急响应预案中,以下哪个步骤是最后执行的?
Galaxy_0的博客
03-12 1163
应急响应准备的工作内容主要有2个:一是对信息系统进行初始化的快照;二是准备应急响应工具包。在检测的时候将保存的快照与信息系统当前状态进行对比,是发现安全事件的一种重要途径。除对比系统初始化快照外,安全事件检测手段还包括部署入侵检测设备、流量监控和防病毒系统集中监控等。网络安全攻击事件可以分为拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击、数据库SQL注入类攻击,针对每一类攻击事件都需制定相应的抑制与根除方法。
2024护网面试题
最新发布
jennycisp的博客
05-09 1121
分析请求包、响应包,分析攻击特征,payload和告警不匹配,多数为误报,也可以查看攻击方向,如果是内对内,多半就是误报,也要具体去分析流量,看响应包内容,请求包如果有执行whoami命令,响应包有root那肯定执行成功了,如果有大批量告警,可以看有没有特殊的响应包判断,重点关注200的数据包,实在无法判断是否攻击成功,自己去复现一下。定期组织员工安全讲座,提供员工的安全意识,企业内邮件系统使用可信赖的邮件服务,员工企业邮箱不得使用弱口令等,如果被感染了也要让大家清楚该做什么,例如直接拔网线等操作。
护网HVV()小白必知必会
qq_35358965的博客
04-21 5205
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。在发现资产被攻击之后,防守方需要及时进行溯源和排查,通常情况下,溯源需要获取到目标攻击者的一部分个人信息,比如手机号,邮箱,QQ 号,微信号等,通过这些信息在互联网可以进一步追溯攻击者的更多暴露信息。
Hvv,面经
Arise Ascendancy的博客
07-22 2891
Hvv面经
hvv初级工作流程
07-08
作为HVV的初级成员,你可能会参与以下一些工作流程: 1. 情报收集与分析:作为成员,你将负责收集和分析各种安全相关的情报信息。这可能包括漏洞报告、恶意软件分析、网络攻击趋势等。 2. 安全事件响应:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值