超级会员免费看
本文详细介绍了Windows系统安全事件应急响应的流程,包括询问攻击情况范围、通用排查思路、准备工作、网络和进程排查、服务和启动项检查、日志分析等关键步骤。通过对网络连接、进程、文件痕迹、用户信息、启动项和日志的全面排查,以确定并应对潜在的安全威胁。
Windows应急
询问攻击情况范围
事件发生时的状况或安全设备告警等,能帮助应急处置人员快速分析确定事件类型,方便前期准备。
通用排查思路
入侵肯定会留下痕迹,另外重点强调的是不要一上来就各种查查查,问清楚谁在什么时间发现的主机异常情况,异常的现象是什么,受害用户做了什么样的紧急处理。问清楚主机异常情况后,需要动脑考虑为什么会产生某种异常,从现象反推可能的入侵思路,再考虑会在 Windows 主机上可能留下的痕迹,最后才是排除各种可能,确定入侵的过程。
分析入侵路径、入侵时间线:结合各类日志以及恶意代码本身,将有关证据进行关联分析,构造证据链,重现攻击过程。
分析恶意代码:找到恶意程序的特征,包括行为、释放的文件、网络通信等,从而得到识别、防御和删除该病毒的方法,使得我们的其他机器能够防得住该恶意程序的攻击。
准备工作
在正式实施应急响应之前,需要先进行以下工作,
第一、信息收集,先对安全事件进行详细的了解,包括系统、服务以及业务类型
第二、思路梳理,通过以上信息收集初步梳理自己的分析思路
第三、工具准备ÿ
订阅专栏 解锁全文
扫一扫
:Windows安全事件应急响应之Windows应急响应基础必备技能&spm=1001.2101.3001.5002&articleId=137182724&d=1&t=3&u=d6292f31968c409dadd9c59a3a523b4c)
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
