HW护网告警处置SOP

《网络安全自学教程》

以某「世界级重保项目」的SOP为基础，做了通用化改编，为护网的小伙伴们提供一些「告警处置」和「应急」思路。

1、安全设备

企业单位通常会有「安全运营平台」、「流量监测」、「全流量回溯」、「主机安全」、「终端安全」等设备，我们可以借助这些设备研判和处置，提前摸清楚现场部署了哪些设备，有什么就用什么。

• 正常情况下，以「安全运营平台」为主，进行告警监控、分析，其余设备做辅助排查。
• 如果安全运营平台异常或企业没有安全运营平台，则使用「流量监测设备」监控告警，其他设备做辅助排查。

客户现场常见的安全设备有：

• 「安全运营平台」：一哥的NGSOC，接收其他安全设备的日志或告警数据，汇总处理，提供全面的安全监测。
• 「流量监测」：一哥的天眼，旁路部署，接收核心或汇聚转发的镜像流量，分析告警，也可以溯源日志，提供各个区域的安全监测。
• 「全流量回溯」：科来的全流量，顾名思义，接收镜像流量，转换成日志用来溯源。
• 「主机安全」：一哥的椒图云锁/青藤的agent/阿里云的安骑士，在服务器上装客户端，告警信息展示在控制台上，常用来扫描和处置后门。
• 「终端安全」：一哥的天擎，在PC上装的杀毒软件，病毒告警展示在控制台上，如果买了管控模块也可以让终端隔离下线。

2、告警处置SOP

通过「安全运营平台」或 「流量监测设备」发现告警，根据告警类型选择对应的处置方式。

2.1、病毒木马

木马、蠕虫、流氓推广、僵尸网络、键盘记录、间谍软件、后门程序、黑市工具、恶意下载、恶意广告、勒索软件、恶意软件、APT事件、

1. 通过告警详情确认域名是否解析成功，确认攻击IP。
2. 使用流量设备搜索与攻击IP有通信行为的设备。
3. （服务器）使用主机安全设备搜索受害IP的告警，根据告警详情定位进程、文件，与管理员确认是否误报。
4. （PC终端）使用终端安全设备搜索受害IP的告警，有就与用户确认是否清除病毒文件，清除后重新全盘扫描；没有就直接全盘扫描，扫出病毒后，与用户确认是否清除，并收集样本给病毒分析组分析是否与告警相关，清除后重新全盘扫描（部分病毒需要重启电脑才能彻底清除）。

2.2、文件上传

1. 检查请求中是否包含代码指令，响应中是否存在执行结果。
2. 使用主机安全设备搜索受害IP是否存在类似告警。
3. 检查受害主机是否存在对应目录、文件。

2.3、SQL注入

1. 检查告警请求包中是否包含SQL，响应包中是否存在执行结果。
2. 使用数审设备搜索受害IP是否有类似告警，是否执行过对应的SQL。
3. 与业务管理员确认是否为业务行为。

2.4、代码执行

命令执行、代码执行

1. 检查请求中是否包含命令代码，响应中是否存在执行结果。
2. 使用主机安全设备搜索受害IP是否存在类似告警。
3. 检查受害主机的历史命令，是否执行过告警中的命令。
4. 与主机管理员确认是否误报。

2.5、跨站脚本

1. 检查数据包是否误报。
2. 反射型可以将响应体保存到本地html文件，访问是否弹窗。
3. 存储型检查响应体是否包含攻击payload。
4. 如果攻击IP是内网，可以安装天擎全盘扫描恶意文件。

2.6、端口扫描

1. 如果攻击IP是内网服务器，使用主机安全设备搜索受害IP是否存在类似告警，定位可疑进程。
2. 如果攻击IP是内网终端，使用终端安全设备搜索受害IP是否有该进程文件的查杀/防护日志；使用EDR搜索受害IP的访问记录，定位可疑进程。
3. 如果攻击IP是外网，扫描时间超过n分钟就上报封禁IP。

2.7、暴力破解

1. 查看告警中攻击IP的登录次数。
2. 使用流量设备根据攻击IP、受害IP搜索登录日志，检查每次登录的密码是否都不一样。
3. 与业务网站管理员核实是否误报。

2.8、webshell

1. 检查告警请求包中是否包含恶意攻击代码，响应包中是否包含执行结果。
2. 使用主机安全设备搜素受害IP是否存在类似告警。
3. 在受害主机上检查是否存在对应文件，与管理员确认是否业务文件。

2.9、信息泄露

信息泄露、配置不当/错误、敏感文件探测、目录探测事件

1. 检查告警请求包payload、检查响应包是否存在对应执行结果。

2.10、弱口令

1. 根据请求包检查是否为弱口令。
2. 根据响应包检查是否登录成功。
3. 与用户确认后，尝试登录，检查是否成功登录。

2.11、拒绝服务

1. 使用威胁情报平台搜索攻击IP所属组织、时间等信息，确认是否误报。
2. 使用防火墙搜索受害IP的流量、日志有无突增。

2.12、未授权访问

1. 检查告警响应包，是否存在绕过登录。
2. 浏览器访问页面检查是否需要权限才能访问。

2.13、账号登录类

账号短时间被多IP登录、多次登录失败、多次动态口令验证失败、多次重置密码、访问多个资源/端口，非工作时间成功修改密码、同一IP登录多个账户等爆破行为。

1. 联系本人核实，是否本人操作。
2. 如果不是，封禁登录IP、封禁/锁定账号后，修改密码；或直接删除账号。

登录被锁定的账户。

1. 联系本人核实，是否本人操作。
2. 如果不是，就删除账号、封禁登录IP，为用户申请新账号。

2.14、管理员操作类

非常用IP/非工作时间/非常用管理员 执行了管理员操作、

1. 与管理员核实，是否本人操作。
2. 如果不是，就修改管理员密码或删除管理员账号，排查管理员账户相关日志，由分析组确认是否需要上机排查，排查确认是否失陷，是否需要应急。
3. 被管理员操作的普通账号，排查账户相关日志，分析是否有异常行为，并针对性处理。

3、应急处置SOP

确认攻击后，参考以下步骤处置受害资产。

3.1、评估影响范围

• 使用流量设备，根据攻击IP搜索，筛选出最近几天被攻击的IP。
• 使用终端安全/主机安全设备，根据威胁名称（比如xx木马）搜索，筛选出存在相同告警的内网终端。
• 整合攻击IP、受害IP、攻击类型、时间，梳理出攻击范围和受害IP的网络拓扑结构。

3.2、临时处置

1. 「隔离」或下线受影响的终端/主机。
2. 替换「备机」恢复工作或切换备用系统恢复生产业务。

3.3、研判

根据影响范围，判断是否为「定向攻击」。

• 定向攻击：隔离终端
• 非定向攻击：隔离终端，查杀恶意程序。

「收集样本」提交到病毒分析组，分析是否存在横向渗透、窃密、创建后门等行为特征，并根据行为对终端进行排查。

3.4、处置

• 「受影响」的终端处置加固，比如清除病毒、异常文件、异常账号。
• 「未受影响」的终端调整策略，比如在墙上封禁恶意IP、C2地址。

3.5、恢复

1. 取消临时策略。
2. 根据攻击行为，添加WAF等防护策略，恢复上线。

3.6、加固

根据攻击路径发现薄弱环节提供加固建议，如：

• 修改弱密码。
• 防护软件开启方爆破。
• 打补丁或修改配置等。