应急响应（个人总结，非专业

在 HW ，和重保中，应急响应是最重要的一环，当出现重大事件的时候，能否把损失降到最低，很大程度上，考验着应急人员对事件的分析能力。

我第一次参加重保是在某个局内负责监控网络安全设备，比如防火墙、IDS、IPS 等。当时负责的内容也挺简单的，如果防火墙出现某些警告的时候，根据信息查看是否被攻入，如果没有则直接封禁 IP，如果有被攻入的现象，则保存信息，联系应急人员。

在整个应急响应的流程中，我的职责更像是一位传话兵，负责报告前线情况。

多个月后，这个传话兵想学更多的东西。便跟着前辈开始了解应急响应的学习。

1. 应急响应大致流程

收集信息：收集客户信息和中毒主机信息，包括样本。
判断类型：判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DoS等等。
深入分析：日志分析、进程分析、启动项分析、样本分析。
清理处置：直接杀掉进程，删除文件，打补丁，抑或是修复文件。
产出报告：整理并输出完整的安全事件报告。

2. 应急响应处理的整体思路

1. 要知道发生了什么事？

思考问题要用好 When？Who？What？Why？How？（4W1H）这个简单的方法。

加入发生了一次安全响应

根据前线传来消息，你要快速的理清这些关系：

（When）什么时候发生的？下一次同样的攻击又会在什么时候发生？
（who？）是那些用户的设备遭到了攻击？
（What？）是受到了类型的攻击？
（Why？）为何会造成这次攻击？
（How？）怎么做去解决这个事件？又应该如何给加固防御？

2. 处理原则

当然应急响应处理的过程中，有的原则也是要注意的：

证据采集快速性：有的证据容易被清空，也有的证据不容易被清空，优先采集容易被清空的数据，其次采集不易被清空的数据。
证据齐全性：里面包括样本、流量、日志、进程模块、内存、启动项等。
免二次污染：避免为了解决问题过程中，旧的问题没解决，因为应急人员的粗心，造成了第二次收到攻击或者新的问题。

3. 应急响应相关知识点

1. 应急响应常见事件

WEB 入侵:网页挂马、主页纂改、WebShell
系统入侵：病毒木马、勒索软件、远控后门
网络攻击:DDOS 攻击、 DNS 劫持、 ARP 欺骗

2. 应急响应常用工具

流量分析工具：WireShark（全平台）、TCPDump（Liunx）
进程分析工具：PC Hunter、ProcessHacker 等
辅助工具： WinHex、Everything 等
内存扫描工具：MemSanner
病毒扫描工具：根据

3. 日志收集

Windows 系统日志：

此电脑 -> 右键 -> 管理 -> Windows 日志

选择正确的日志和正确的日志ID

日志存在路径

C:\Windows\System32\winevt\Logs

重要日志

Security.evtx、System.evtx、Application.evtx

Linux 系统日志

日志路径

/var/log

日志作用

文件路径(前缀默认/var/log/)	改日志记录内容
message	内核消息及各种应用程序的公共日志信息,包括启动、I/O错误、网络错误
cron Crond	周期性计划任务产生的时间信息
dmesg	引导过程中的各种时间信息
maillog	进入或发出系统的电子邮件活动
lastlog	每个用户最近的登录事件
secure	用户认证相关的安全事件信息
wtmp	每个用户登录注销及系统启动和停机事件
btmp	失败的、错误的登录尝试及验证事件

4. 漏洞和补丁

这个就要在主动防御应该做好的事情.

如果没有做好漏洞补丁填补,只要解决一个入侵,那么就会有下一次入侵,除病不除源,会体现在病毒清除不干净.

后果:黑客的侵入及病毒的驻留，数据丢失和篡改、隐私泄露，系统被控制并作为入侵其他主机系统的跳板，等等。

个人总结

突然感觉自己要学的东西很多啊,网络安全的学习还有很长的路要走.