目录
任务一、总结应急响应流程(预案,研判,遏止,取证,溯源,恢复——无先后顺序,根据实际情况进行处理)
任务一、总结应急响应流程(预案,研判,遏止,取证,溯源,恢复——无先后顺序,根据实际情况进行处理)
以3W1H原则、易失性原则、要素原则、避害原则为指导
1.收集信息
收集客户信息和中毒主机信息,包括样本
2.判断类型
判断是否是安全事件,何种安全事件,勒索、挖矿、DoS等
3.深入分析
日志分析、进程分析、启动项分析、样本分析
Windows系统日志:Windows系统自带的审计日志、操作日志、故障日志。
Linux系统日志:Linux系统自带的审计日志、操作日志、故障日志。
应用日志:包括但不限于Web应用等众多繁杂的日志。
4.清理处置
直接杀掉进程,删除文件,打补丁,或者修复文件
5.产出报告
整理并输出完整的安全事件报告
任务二、总结应急响应措施及相关操作
以windows为例
检查系统账号安全
查看服务器是否有弱口令,远程管理端口是否对公网开放(使用netstat-ano 命令、或者问服务器管理员)
(1)lusrmgr.msc 命令查看服务器是否存在可疑账号、新增账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉
(2)用 D盾或者注册表中查看服务器是否存在隐藏账号、克隆账号
(3)结合日志,查看管理员登录时间、用户名是否存在异常
(4)检查方法:Win+R打开运行,输入“eventvwr.msc”,回车行,打开“事件查看器”,导出Windows 日志-安全,利用 Log-Parser 进行分析
检查异常端口、进程
(5)netstat-ano检查端口连接情况,是否有远程连接、可疑连接
(6)任务管理器-进程
检查启动项、计划任务、服务
检查系统相关信息
(7)查看系统版本以及补丁信息
(8)查找可疑目录及文件:日志分析
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
