本文详细介绍了应急响应的流程,包括保护、分析、复原和修复四个阶段,强调了日志分析在安全事件中的关键作用。文中提到了必备知识如WEB安全攻击技术和日志分析,并分享了三个案例,涉及Windows、Linux环境及360星图日志分析工具的使用,展示了如何通过工具进行日志排查和后门分析。
一、应急响应流程
保护阶段,分析阶段,复现阶段,修复阶段,建议阶段。
目的:分析攻击时间、攻击操作、攻击结果、安全修复等并给出合理的解决方案。
保护阶段:直接断网,保护现场,看是否能够恢复数据
分析阶段:对入侵过程进行分析,常见方法为指纹库搜索、日志时间分析、后门追查分析、漏洞检查分析等
复现阶段:还原攻击过程,模拟攻击者入侵思路,关注攻击者在系统中应用的漏洞、手法
修复阶段:分析原因后,修补相关系统、应用漏洞,如果存在后门或弱口令,及时清除并整改
建议阶段:对攻击者利用的漏洞进行修补,加强系统安全同时提高安全意识
二、必备知识
- 1.熟悉常见的 WEB 安全攻击技术 (通用知识,必备)
- 2.熟悉相关日志 启用 及 存储查看 等(不同中间件的方法不同,需要积累,必备)
- 3.熟悉日志 中记录数据分类及分析 等
三、准备工作
- 1、收集目标服务器信息
- 2、部署相关分析软件和平台等
- 3、整理相关安全渗透测试工具指纹库
- 4、针对异常表现第一时间触发思路
从表现预估入侵面及权限面进行排查:
最低0.47元/天 解锁文章
扫一扫
954
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
