告警分析、应急响应流程

已于 2022-07-20 10:28:21 修改
阅读量3.3k 收藏 25
点赞数
分类专栏: 安全渗透 安全 应急响应 文章标签: 威胁情报 告警分析 应急响应 流程
于 2022-04-16 22:19:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/t102526/article/details/124221791
版权

1.威胁情报类告警分析流程

1.确认事件的真实性
2.查询IOC的情报信息——IOC的时效性、相关的情报信息等
3.定位受害ip,确定攻击ip是在内网还是外网
4.排除误报,排除因内部人员操作引起的误报
5.关联分析——定位被扩散的资产,攻击源是否进行了横向渗透,进行了哪些相关的操作,造成了何种后果
6.溯源分析
把时间向前推进5-10分钟,是攻击者首次攻击的时间,分析攻击者是以哪种漏洞进行攻击的,什么方式,何种手段攻击进来的,我们要以何种方式去解决
7.提出处置建议+出报告

2.应急响应流程

应急响应流程:
1、准备阶段:安装必要的工具集合。天眼、PChunter、 Everything等工具
2、检测阶段:分析所有可能得到的信息来判定安全事件和确定入侵行为的特征。天眼、威胁情报、进程、启动项、计划任务等。
3、抑制阶段:限制事件扩散和影响的范围。防火墙策略、关闭端口、业务下线、断网等。
4、根除阶段:通过事件分析查明事件危害的方式,并且给出清除危害的解决方案。清除攻击载荷、杀毒、修复漏洞、打补丁等。
5、恢复阶段:把被破坏的信息彻底地还原到正常运作状态,业务连续性。
6、跟踪阶段:检查后续业务状态,产出应急响应报告,重新评估和修改事件响应过程,复盘。

tlucky1
关注
专栏目录
《网络安全自学教程》- 应急响应标准流程
wangyuxiang946的博客
07-02 3699
这篇文章带大家解读安全事件分类分级,应急响应的组织架构和流程,以及灾备相关知识。
告警日志分析
qq_43772826的博客
06-11 3689
告警日志分析 告警日志分析概述 针对日常IT运维过程中遇到的网络故障、网络安全事件等场景提供的日志分析记录来获取相关有价值信息的一种服务措施。 告警日志分析为发现日常安全威胁、快速排查故障、解决处理安全事件提供了一种有效的辅助手段。 常见问题及风险规避 设备登录及日志获取操作 1.登录设备后,只进行日志查询和日志获取操作; 2.禁止进行设备参数修改、日志删除等操作、必要时由客户进行操作 3.获取的网络拓扑、日志及样本信息需要保密 分析方式 事件分析法 时间分析法 流量包样本分析法 基于WAF的常见web安全
全方位多领域全层级监控利器--天眼智能监控告警平台
weixin_40926179的博客
03-20 2746
全方位多领域全层级监控利器--天眼智能监控告警平台 建设背景 在全力加快数字化转型过程中,IT系统的架构演进不断升级,大量新兴技术及组件在生产系统中得以推广应用,如何提升监控的准确性,及时性,增强用户感知,保障生产系统稳定运行,是目前面临的一大挑战。目前遇到的痛点影响了运维问题处理的准确性。 全层级监控多样化告警解决方案 作为天眼体系的一项基础监控产品,平台提供IaaS、PaaS、SaaS各层级监控能力,支持全流程可视化配置,具备多样化告警通知方式,实现告警工单闭环管理。用户可快速实现监控接入,为系
怎样创建合适的告警处理流程
wangpeng198688的专栏
01-14 814
我们都知道监控对确保网站和应用的平稳运行是多么重要,但这只是一个方面。一旦发现错误,监控软件发出了告警消息你该怎么做?如何决定下一步采取什么措施?一个合理的告警流程可以帮助你优先处理最重要的问题,并且避免让问题打扰到不在职责范围内的无关人员。更广泛地说,它使得每个人都清楚地知道自己应该解决什么问题。怎样创建合适的告警处理流程?创建一个合适的告警处理流程可能会比较棘手,这个过程需要自己去摸索。适合你的
告警分析:如何帮助运维团队快速做出最佳决策?
wangpeng198688的专栏
01-19 2582
「路漫漫其修远兮,吾将上下而求索」,「转身」不见得华丽,但我必须「转身」,不要安逸于现在的运维状况。如果你运维一线人员,是否会遇到以下情况: 公司所有的服务器告警消息会塞满自己的整个邮箱,如果公司的运维团队有几个人到几十人不等,当你处理邮箱中的告警消息的时候,处理一半会发现问题已经解决了,这个现象很常见,会导致工作效率的下降。改善的方法有很多,比如团队内部多一些沟通,然而沟通的成本也是非常高的。解决
告警分析~
tlucky的博客
04-16 989
告警分析是安全保障中很重要的一步,在监控告警时,分析告警可以发现一些攻击,并及时阻止
情报类告警分析流程
angelliusa的博客
01-20 239
BSS常见告警分析.doc
09-13
1. 快速响应:及时识别并处理告警,防止小问题升级为大故障。 2. 分析关联性:考虑告警之间的关联,一个告警可能与其他告警有关联,需整体分析。 3. 定位根源:深入了解告警产生的原因,是硬件问题还是软件问题。 4....
应急响应流程 (2).docx
06-25
应急响应流程是企业在面对网络安全事件时的重要操作指南,旨在确保在遭受攻击时能迅速、有效地进行防御和恢复。本文基于PDCERF模型,详细介绍了每个阶段的关键任务和措施。 P(Prepare,准备)阶段是应急响应的基础...
奇安信天眼告警分析课件(B站配套教学视频)
07-02
3. **告警分析流程**:教授如何理解和解析天眼系统产生的告警信息,以及告警的分级和处理策略,帮助用户快速定位问题。 4. **实战演练**:通过模拟或真实网络环境,展示告警事件的分析过程,包括数据收集、分析、...
应急响应(日志/流量)
nigo134的博客
03-25 4682
事件分类 有害程序事件 网络攻击事件 信息破坏事件 事件内容安全事件 设备设施故障事件 灾害性事件 其它事件 应急响应工作流程 准备阶段 应急团队建设 应急方案制定 等级保护测评 检测阶段 判断安全设备告警 判断事件类型 判断事件级别 确定应急方案 抑制阶段 阻断:封禁IP、断开网络连接.隔离失陷主机 排查:排查可疑进程、排查可疑服务、审计各类日志、排查可疑账户、排查可疑文件 根除阶段 修复:系统漏洞.网站漏洞 更新:安全策略、威胁情报 还原:操作系统.业务系统 恢复
告警日志处理过程
hongliangpan
07-21 720
告警相关性分析中, 告警处理主要处理步骤为: 1.资产配置,环境准备 2.采集 3.格式标准化 4.过滤 5.分类 6.关联 7.展现 归并 从各种安全设备收集所有安全事件、告警、事故和日志的过程。 正规化 利用EVM的通用解码器同步和正规化巨量信息到单一可读格式的过程。 过滤 [drools 推理引擎 ] 为提供精确的事故处理,对高质量和低质量两种信息进行过滤的...
情报类告警分析
angelliusa的博客
01-20 208
设备告警分析研判——Web漏洞的分析检测(WAF-IPS)
qq_53058639的博客
03-16 1004
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
案例分享 | 某券商利用AI技术进行告警关联分析(上)
智能运维及数据中台探索
02-14 644
作为大型券商企业之一,某券商对深入数字化转型,以及对应用、网络、主机、操作系统、中间件、用户使用体验等的全面可观测性要求越来越强烈。由于可观测性需求的深入及实施,带来了大量的告警需要进行处理,原有的统一事件管理平台仅完成了对告警的收集、告警标准化、丰富和通知等能力。 当前该券商面临的最大问题是告警不能进一步收敛,缺乏运维专家的经验可以将同一问题引发的多个告警进行有效的关联,进而进一步降低告警的处理量。
设备告警日志分析及处理
weixin_45007073的博客
04-22 6970
介绍 在整个攻防演练的过程中,我们主要要注意安全监控与分析、安全策略优化、安全设备的自身加固。这三部分都是保障网络安全的重要手段。一旦边界设备被入侵,那么就意味着全部都将失守。 安全设备分类 类别 产品 安全防护类 下一代防火墙、防病毒网关、应用安全网关、下一代网闸、单/双向网闸、网络安全准入、抗DDOS 安全检查 IDS/IPS、资产发现、网络扫描、网络行为审计、流量复制聚合、APT监控平台 端点安全 EDR、主机卫士、桌面虚拟化、安全虚拟手机 应用安全 WAF、网页防篡改、
监控告警数据处理流程
12-07 1723
企业如何实现良好的告警管理流程
weixin_42556618的博客
02-08 290
企业要实现运转良好的告警管理流程,就需要利用好告警管理工具,从而能够更快更低成本的达成目标。接下来我们就以嘉为鲸眼告警中心为例,从告警管理流程出发进行“顺藤摸瓜”,对过程中的“告警集中汇聚”、“告警信息丰富”、“告警收敛降噪”三个重要典型场景进行拆解分析,分享企业实现良好告警管理流程的经验。
2024HW 天眼&NGSOC告警分析学习笔记
最新发布
weixin_51339377的博客
05-09 1561
可以发现这个分析平台,某种程度上是一个用户的汇总终端,汇总了来自刚才学习的流量传感器的内容,并且进行了展示,适合操作者进行总体上的操作把控。整体上来说,类似于一个对于受控主机内部文件的一个app,就像每个系统上安装了杀毒软件一样。自行补充TCP的三次握手和四次挥手相应的ack等的字段数值规律。大多为基础知识,都已经熟练掌握。
it运维应急响应流程
11-13
IT运维应急响应流程图是指在IT系统出现故障或安全事件时,运维团队需要采取的一系列应急响应措施的流程图。通常包括以下几个主要步骤: 1. 事件检测和识别:当IT系统出现异常情况时,运维团队需要第一时间进行事件检测和识别,包括通过监控系统、告警信息等方式对问题进行定位和识别。 2. 事件分类和优先级评估:针对检测到的事件,需要对其进行分类和评估优先级,确定事件的紧急程度和影响范围,以便后续的处理。 3. 应急响应计划启动:根据事件的分类和优先级评估结果,启动相应的应急响应计划,包括调动相关人员和资源,启动应急响应流程。 4. 问题定位和分析:针对具体的事件,进行问题的定位和分析,找出问题的根本原因和影响范围,为后续处理提供依据。 5. 应急处理和恢复:采取相应的措施进行应急处理,包括问题修复、恢复受影响的系统功能等,尽快恢复系统正常运行。 6. 事后总结和改进:针对事件的处理过程和结果进行事后总结和分析,找出问题所在,提出改进意见和措施,以避免类似事件再次发生。 IT运维应急响应流程图通过明确的步骤和流程,能够帮助运维团队在事件发生时迅速做出反应,有效应对各类问题,最大程度地减少IT系统故障或安全事件对业务造成的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值