1.总结应急响应流程
(1)事件预警/发现:
通过安全监控系统或日志报警、告警等方式发现异常或有风险的行为。
(2)事件确认:
事件预警后需要进行核实,确认事件的具体情况,确定事件的类型、影响范围、紧急程度等。
(3)事件分类:
根据事件的类型和影响程度对事件进行分类,并作出响应计划。
(4)紧急响应:
根据响应计划,启动紧急响应模式,调集相关的人员和资源,进行紧急处理和控制事件。
(5)事件调查:
对事件进行深入分析,找出事件的成因,并根据分析结果调整相关防护策略和措施,降低风险。
(6)事件修复/恢复:
恢复受影响的系统、数据和业务功能,确保业务恢复正常运作。
(7)事件总结/报告:
回顾事件处理过程,总结经验教训,撰写事件报告,并需要对相关人员进行培训和宣传,提高业务人员的安全意识和技能水平。
2.总结应急响应措施及相关操作
Windows排查操作:
查看开机启动项、临时文件、浏览器痕迹、Recent文件夹、文件时间等。 使用命令如netstat -ano查看网络连接,tasklist定位进程,wmic process获取进程路径。
Linux排查操作:
分析敏感目录、查看开机启动项、检查用户历史命令记录、分析用户信息等。 使用命令如ls、stat、netstat、ps、find等进行文件和进程的详细检查。
日志排查:
Windows系统通过事件查看器分析安全日志,Linux系统通过/var/log目录下的日志文件进行分析。
工具使用:
使用PC Hunter、Process Explorer、Microsoft Network Monitor等工具进行系统信息查看和网络协议分析。