应急响应(个人总结,非专业
在 HW ,和重保中,应急响应是最重要的一环,当出现重大事件的时候,能否把损失降到最低,很大程度上,考验着应急人员对事件的分析能力。
我第一次参加重保是在某个局内负责监控网络安全设备,比如防火墙、IDS、IPS 等。当时负责的内容也挺简单的,如果防火墙出现某些警告的时候,根据信息查看是否被攻入,如果没有则直接封禁 IP,如果有被攻入的现象,则保存信息,联系应急人员。
在整个应急响应的流程中,我的职责更像是一位传话兵,负责报告前线情况。
多个月后,这个传话兵想学更多的东西。便跟着前辈开始了解应急响应的学习。
1. 应急响应大致流程
收集信息:收集客户信息和中毒主机信息,包括样本。
判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS等等。
深入分析:日志分析、进程分析、启动项分析、样本分析。
清理处置:直接杀掉进程,删除文件,打补丁,抑或是修复文件。
产出报告:整理并输出完整的安全事件报告。
2. 应急响应处理的整体思路
1. 要知道发生了什么事?
思考问题要用好 When?Who?What?Why?How?(4W1H)这个简单的方法。
加入发生了一次安全响应
根据前线传来消息,你要快速的理清这些关系:
- (When)什么时候发生的?下一次同样的攻击又会在什么时候发生?
- (who?)是那些用户的设备遭到了攻击?
- (What?)是受到了类型的攻击?
- (Why?)为何会造成这次攻击?
- (How?)怎么做去解决这个事件?又应该如何给加固防御?
2. 处理原则
当然应急响应处理的过程中,有的原则也是要注意的:
- 证据采集快速性:有的证据容易被清空,也有的证据不容易被清空,优先采集容易被清空的数据,其次采集不易被清空的数据。
- 证据齐全性:里面包括样本、流量、日志、进程模块、内存、启动项等。
- 免二次污染:避免为了解决问题过程中,旧的问题没解决,因为应急人员的粗心,造成了第二次收到攻击或者新的问题。
3. 应急响应相关知识点
1. 应急响应常见事件
- WEB 入侵:网页挂马、主页纂改、WebShell
- 系统入侵:病毒木马、勒索软件、远控后门
- 网络攻击:DDOS 攻击、 DNS 劫持、 ARP 欺骗
2. 应急响应常用工具
- 流量分析工具:WireShark(全平台)、TCPDump(Liunx)
- 进程分析工具:PC Hunter、ProcessHacker 等
- 辅助工具: WinHex、Everything 等
- 内存扫描工具:MemSanner
- 病毒扫描工具:根据
3. 日志收集
- Windows 系统日志:
此电脑 -> 右键 -> 管理 -> Windows 日志
选择正确的日志和正确的日志ID
日志存在路径
C:\Windows\System32\winevt\Logs
重要日志
Security.evtx、System.evtx、Application.evtx
- Linux 系统日志
日志路径
/var/log
日志作用
文件路径(前缀默认/var/log/) | 改日志记录内容 |
---|---|
message | 内核消息及各种应用程序的公共日志信息,包括启动、I/O错误、 网络错误 |
cron Crond | 周期性计划任务产生的时间信息 |
dmesg | 引导过程中的各种时间信息 |
maillog | 进入或发出系统的电子邮件活动 |
lastlog | 每个用户最近的登录事件 |
secure | 用户认证相关的安全事件信息 |
wtmp | 每个用户登录注销及系统启动和停机事件 |
btmp | 失败的、错误的登录尝试及验证事件 |
4. 漏洞和补丁
这个就要在主动防御应该做好的事情.
如果没有做好漏洞补丁填补,只要解决一个入侵,那么就会有下一次入侵,除病不除源,会体现在病毒清除不干净.
后果:黑客的侵入及病毒的驻留,数据丢失和篡改、隐私泄露,系统被控制并作为入侵其他主机系统的跳板,等等。
个人总结
突然感觉自己要学的东西很多啊,网络安全的学习还有很长的路要走.
应急响应(个人总结,非专业相关推荐
- 网络安全应急响应技术实战指南
文章转载:https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md 用于安全事件响应的工具与资源的列表 ...
- 【应急基础】安全应急响应工具年末大放送(含下载)
为了帮助安全分析师更好的完成工作,小编整理了一些现在比较流行的安全应急响应工具和资源,从磁盘镜像创建工具.内存分析工具到内存镜像工具.沙盒/逆向工具等,相信总有一款适合你. 磁盘镜像创建工具 GetD ...
- Linux安全事件应急响应排查方法总结
Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非 ...
- c++程序影像读取_应急响应手册程序执行痕迹
接上一篇应急响应手册-Windows排查流程,程序的执行痕迹可以从注册表.文件.日志三个方面介绍. 01 - 注册表 (1) ShimCache 微软使用了ShimCache或"AppCom ...
- 蚂蚁金服安全应急响应中心上线 用户可提交漏洞
蚂蚁金服安全应急响应中心(AFSRC)已于今日上线.该平台旨在集合安全领域的专家.白帽子.社会团体及个人共同发现潜在的漏洞信息,并依此建立漏洞统计分析中心,预知并自查风险,及时修复漏洞,帮助提升自身产 ...
- linux 应急响应 病毒清除 系统加固
概述 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun.procexp这样的应急响应利器,也没有统一的应急响应处理流程.所以,这篇文章将会对L ...
- 一次SSH爆破攻击haiduc工具的应急响应
一.概述 2022年3月底,在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃,主要涉及的是一个haiduc的工具. 二.检测定位阶段工作说明 2.1.异常现象确认 服务器被植 ...
- 【网络安全】什么是应急响应,应急响应中你到底该关注哪些指标?
一.前言 今天这一篇文章主要就是介绍应急响应中的KPI.不过在讨论之前,还是得简单的介绍一下什么是应急响应. 二.什么是应急响应? "应急响应"对应的英文是"Incide ...
- 如何做好应急响应工作?常见应急响应流程
一.前言 这是博主对于应急响应归纳出来的方法论,一个笼统的.抽象的概念,包含思路和方法. 二.常见应急响应流程 这是博主自己的经验总结出来的应急响应流程,也是亲自去应急时的流程. 三.响应 这里不讨论 ...
最新文章
- 未能找到路径的一部分_车辆路径规划三种MIP模型
- 第一个程序,Hello World
- 60-400-045-使用-binlog-Maxwell读取MySQL binlog日志到Kafka
- XML和实体序列化和反序列化
- 随手记---字符和词汇的区别
- 华为自带时钟天气下载_华为天气时钟农历插件,求华为自带的天气时钟
- 浙大PAT 1102
- 【担心照片被冒用?】活体检测新增人脸合成图鉴别
- 怎么用dos系统进入服务器,如何进入dos_如何进入dos还原系统
- python中倒背如流_倒背如流100首诗词,你眼中的学霸是怎么做到的?
- 什么是模型?开发软件为什么要建模?
- 曾鹏锦老师:具备这5种能力人生之路越来越好走越走越宽
- Flutter中使用device_info获取设备信息
- 别人从你身上偷不走的10件东西
- JavaScript 04 流程控制(循环)
- 微信小程序 初学——【音乐播放器】
- 函授计算机科学与技术就业方向,成人高等函授教 计算机科学与技术专业.doc
- 【刘文彬】【精解】EOS标准货币体系与源码实现分析
- Gh0st通信协议解析(3) .send数据包大概是域名拦截关键
- 网站用户行为分析项目之会话切割(一)
热门文章
- 微信小程序保存图片到相册授权被拒绝后重新拉取授权的方法
- Vue 引用网络图片 403拒绝访问
- 关于amazon的aws云服务
- mac电脑用github管理codding或者码云遇到的坑
- SMA TE: Semi-Supervised Spatio-Temporal RepresentationLearning on Multivariate Time Series
- 苹果app上架流程之傻瓜式教程剖析
- Spring Cloud Stream消息驱动
- 技术管理进阶——管理者可以使用哪些管理工具
- android常用轮子(持续更新)
- 计算机毕业设计ssm+vue基本微信小程序的电影票务系统-电影票预订系统