应急响应的思路

最新推荐文章于 2024-09-14 21:10:44 发布
最新推荐文章于 2024-09-14 21:10:44 发布
阅读量57 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58668762/article/details/132279078
版权

事情状态判断

了解现状(咨询甲方管理员)

发生时间
操作系统
系统服务

确认现状(自己尝试一下)

甲方提供的事件是否是真实的
根据现状提出可能存在的问题
确认是否感染了其他设备

临时处置

核心(隔离)

内容

被感染(物理隔离 ,网络隔离(ACL,防火墙)禁用U盘)
系统有备份:启用备用服务器,并且开启所有的防护功能:被攻击设备物理隔离
系统无备份,但有很重要的文件:服务现在能否使用;不能:直接隔离:能使用:发布空窗期并开启防护设备
系统无备份,但也不重要:直接隔离
​
未感染
ACL隔离
关闭SSH与RDP远程服务
禁止使用U盘

信息收集分析

入侵检测

攻击链条
漏洞成因
恶意操作

内容

Windows
用户与用户组
文件
服务与进程
端口连接
系统信息
启动项
日志分析
流量分析
​

​

事件处理

受害机
核心:根据不同的漏洞成因选择不同的根除方法
​
内容
web漏洞
 ssh暴力破解
 关闭ssh服务
 设置强密码
 设置登录策略
 配置ssh访问黑名单
 删除后门
 恢复数据
​
 sql注入
 过滤
 预编译
 上WAF
 恢复数据
​
病毒类
断网隔离
删除病毒
数据解密
重装系统
未感染设备
核心:防患于未然
内容:上安全设备
     更新补丁
     关闭不需要的设备    
方法:漏洞检测
     漏洞防御

事件防御

核心:预防被攻击成功,监控攻击行为

内容

定期完成安全巡检
定期基线排查
有计划的渗透测试
定期员工培训
定期开展应急响应演练

监控 :部署安全设备

爱吃蒸蛋的马王爷
关注
《网络安全自学教程》- Windows应急响应排查思路
wangyuxiang946的博客
04-17 1万+
结合实战案例逐步讲解Windows应急响应排查思路及具体操作步骤
应急响应思路
weixin_64713446的博客
09-19 457
基础的应急响应,小白勿喷,后边接触会不断完善
渗透测试-应急响应思路分享
lza20001103的博客
08-18 1138
渗透测试-应急响应思路分享 文章目录渗透测试-应急响应思路分享0x01 背景描述0x02 排查过程0x03 病毒处置0x04 总结 0x01 背景描述 主机192.168.2.158主机连接挖矿域名,且出现主机卡顿和CPU占用高等现象,并且主机未安装任何防护设备和杀软。 0x02 排查过程 通过top命令查看CPU占用,发现CPU占用率较高的进程名为“work32”,PID为2411。 通过PID获得对应进程目录和进程。 定位进程目录为/usr/.work,目录主要包含以下内容: 通过沙箱分析文件wor
应急响应思路分享及案例
m0_64583632的博客
04-25 695
应急响应思路分享、面对常见病毒的应急响应
应急响应思路---linux系统
2301_80127209的博客
12-27 312
如果发现了系统存在异常的流量向外发送,初步判断是攻击者入侵了本台linux服务器,工作人员应该做断网操作,先把服务器的网络断掉,然后在内网的环境下进行逐一排查。(1)禁用或者删除无用的账号,检查特殊账户(可远程登录、用户权限高的账号),必要时禁止远程登录用户登录,只能本地登录,设置多次登录失败锁定账户。(1)首先监测系统的账号安全,例如新增的账号、可疑账号、克隆账号等、隐藏账号,或者查看账号是否存在弱口令。(1)首先监测用户账号安全,比如新增的账号、可疑账号,重点查看可以远程登录的账号以及高权限账号。
Linux应急响应思路和技巧:进程分析篇
WangsuSecurity的博客
05-27 1127
本文总结自网宿安全演武实验室安全应急响应团队日常工作实践
Linux入侵应急响应思路
sash1mi
10-25 452
Linux入侵应急响应思路 0x01 登录情况排查 w:用于显示目前登入系统的用户信息,以及正在执行的程序,便于查看当前系统的使用情况 last:用于显示用户最近登录信息,可能会留下入侵者的痕迹 uptime:查看当前时间、系统运行了多久时间、当前登录的用户有多少,以及前 1、5 和 15 分钟系统的平均负载,便于查看系统的运行状况和负载情况(判断是否挖矿等提供一定凭据) 0x02 查询进程情况 top:查看资源消耗情况,id表示系统cpu剩余,若该值很小,说明系统可能被用于挖矿等严重占用资源,此
Windows下的应急响应思路及其基本命令
apple_52661176的博客
12-11 814
注意看,这个男人叫小帅。他在一个寂静的夜晚,月光洒在寂静的办公室里敲代码。突然,一连串神秘的电脑故障突然间打破了这里的宁静。电脑屏幕上出现了奇怪的代码,文件开始消失,网络连接也时断时续。在这个紧急关头,他将如何处理!!!
Windows应急响应流程与思路
mashiro_hibiki的博客
04-25 2194
网络安全应急响应(Network Security Incident Response,又称CSIRT)是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程。其目的是降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。我这里总结了一些 Window 服务器应急响应思路和方法,希望能对师傅们处理攻击事件或工作中的应急响应有所帮助。
挖矿病毒应急响应思路,挖矿病毒事件处理步骤
韩束一叶子
05-06 1336
比特币系统每隔一段时间就会在节点上生成一个「随机代码」,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而「寻找代码」的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的「哈希运算」,CPU通常会被顶到100%。为了「降低成本」,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿。
应急响应】Linux入侵排查思路
09-18
应急响应】Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...
应急响应—常见应急响应处置思路
浅浅的博客
12-03 6971
下图是常见应急响应处置思路的思维导图 下面将对 "常见应急响应处置思路" 进行详细的讲解 一、操作系统后门排查 排查目标:找出后门程序在哪里,找到后门是怎么启动的,尽可能发现后门修改了系统的那些地方。 Windows常见系统后门排查 1、工具列表 Pchunter 恶意代码检测工具 Process Explorer 恶意代码检测工具 Autorun...
windows应急响应基本思路
lay77的博客
09-16 161
一、系统排查 1、系统信息 2、用户信息 3、 启动项 4 、任务计划 二、进程排查 三、服务排查 四、文件痕迹排查 1.敏感目录 2.时间点查找 3 .webshell文件 五、日志分析 1.系统日志 2.安全性日志 3.应用程序日志 4.日志分析 六、内存分析 1 .内存的获取 2 .内存的分析 七、流量分析 八、威胁情报
【网络安全】处理应急响应的简单方法
你在看屏幕的同时,屏幕也在注视着你
11-15 4475
处理应急响应的简单方法
时间&安全精细化管理平台存在未授权访问漏洞
2301_77012231的博客
09-14 88
登录--时间&安全精细化管理平台存在未授权访问漏洞导致与员工信息泄露。
注册安全分析报告:熊猫频道
Explinks的博客
09-10 607
熊猫频道作为央视的子频道, 采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “我们怎么会被盯上呢,不可能的”等等。有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。越早还,问题就越小,损失就越低。
3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)
weixin_52173250的博客
09-07 1549
HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据
Java代码审计篇 | ofcms系统审计思路讲解 - 篇4 | XXE漏洞审计
最新发布
哦 卷!
09-14 390
我发现很多文章包括教程,大概套路是:只说有漏洞的点,将有漏洞的点指出,然后分析代码;或者黑盒测试出漏洞之后,然后分析代码。我认为这是在分析漏洞代码,而非代码审计。代码审计文章或教程应该是从0开始找到漏洞所在,包括思路!所以这里不管有没有漏洞,我都会把审计过程写出来,因此篇幅会很长,但我认为这样对你会很有帮助。知其然亦知所以然。XXE漏洞审计Java代码审计篇 | ofcms系统审计思路讲解 - 篇1 | 环境搭建、路由机制。
远程跨境传输大文件如何做到安全又稳定?
镭速的博客
09-14 212
在当今全球化的商业环境中,企业跨境传输大文件的需求日益增长。这不仅涉及到数据的快速迁移,还包括了安全性、稳定性和合规性等多重挑战。本文将探讨企业在跨境传输大文件时可能遇到的问题,以及在传输过程中应注意的事项,并重点介绍镭速在方面的优势。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值