安全运营和应急响应详解

一、网络安全运营

1、什么是安全运营

在安全运维的基础上，高效持续的提升企业安全防御能力，实现可视化监控、自主防御，能够发现安全问题、分析安全问题、解决安全问题。

2、为什么需要安全运营

预防网络攻击，保障内网安全，数据安全，满足国家等保护要求。

3、安全运营工程师必备技能

设备运维、安全监测、漏洞管理、安全加固、渗透测试、应急响应。

4、SOC是什么

安全运营中心。

安全运营中心是在组织和技术层面处理安全问题的集中单位。建筑物或设施内的 SOC 是工作人员使用数据处理技术监督现场的中心位置。

安全运营中心不仅仅是技术工具的集合。SOC 是人员、流程和技术。

评估您的 SOC 成熟度至关重要，因为您无法改进无法衡量的内容。根据您的业务需求和用例，有许多基于不同指标的成熟度模型。一些指标是：* 检测时间 (TTD) * 响应时间 (TDR)。

5、安全运营工作流程是什么

资产运营、日常通报预警、安全设备运营、安全检测分析、渗透测试、安全加固、漏洞管理、应急响应。

二、安全事件和应急响应流程

1、攻击向量分析

攻击向量分析攻击向量是攻击者用来访问漏洞的路径。换句话说，用于攻击资产的方法称为威胁向量或攻击向量。可以分析攻击向量。分析是通过研究攻击面来完成的，例如应用程序的入口点、API、文件、数据库、用户界面等。

2、安全事件

事件是系统或网络中任何可观察到的事件。事件包括连接到文件共享的用户、接收网页请求的服务器、发送电子邮件的用户以及阻止连接尝试的防火墙。应急是具有负面后果的事件，例如系统崩溃、数据包泛滥、未经授权使用系统权限、未经授权访问敏感数据以及执行破坏数据的恶意软件。在应急响应操作期间，您需要收集大量工件资源。您可以使用不同的工件，例如：

IP 地址
网站域名
网址
系统调用
流程
服务和端口
文件哈希

3、网络安全事件分类有哪些

安全事件分类主要参考中央网信办发布《国家网络安全事件应急预案》，网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。

1）有害程序事件

有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

2）网络攻击事件

网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

3）信息破坏事件

信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

4）信息内容事件

信息内容安全事件是指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

5）设备故障

设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

6）灾害性事件和其他事件

灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件，其他事件是指不能归为以上分类的网络安全事件。

网络安全事件全类型中英文名称对照：

MI：有害程序事件（Malware Incidents）

CVI：计算机病毒事件（Computer Virus Incidents）

WI：蠕虫事件（Worms Incidents）

THI：特洛伊木马事件（Trojan Horses Incidents）

BI：僵尸网络事件（Botnets Incidents）

BAI：混合攻击程序事件（Blended Attacks Incidents）

WBPI：网页内嵌恶意代码事件（Web Browser Plug-Ins Incidents）

NAI：网络攻击事件（Network Attacks Incidents）

DOSAI：拒绝服务攻击事件（Denial of Service Attacks Incidents）

BDAI：后门攻击事件（Backdoor Attacks Incidents）

VAI：漏洞攻击事件（Vulnerability Attacks Incidents）

NSEI：网络扫描事件（Network Scan & Eavesdropping Incidents）

PI：网络钓鱼事件（Phishing Incidents）

II：干扰事件（Interference Incidents）

IDI：信息破坏事件（Information Destroy Incidents）

IAI：信息篡改事件（Information Alteration Incidents）

IMI：信息假冒事件（Information Masquerading Incidents）

ILEI：信息泄漏事件（Information Leakage Incidents）

III：信息窃取事件（Information Interception Incidents）

ILOI：信息丢失事件（Information Loss Incidents）

ICSI：信息内容安全事件（Information Content Security Incidents）

FF：设备设施故障（Facilities Faults）

SHF：软硬件自身故障（Software and Hardware Faults）

PSFF：外围保障设施故障（Periphery Safeguarding Facilities Faults）

MDA：人为破坏事故（Man-made Destroy Accidents）

DI：灾害性事件（Disaster Incidents）

OI：其他事件（Other Incidents）

4、网络安全事件分为5级

根据事件后果的严重程度，网络与信息安全事件划分为5个级别，其中1级危害程度最高，5级危害程度最低。3级和3级以上的网络与信息安全事件称为重大网络与信息安全事件，各级别网络与信息安全事件的描述为：

1）灾难性安全事件

对下城区政府信息系统业务活动、单位利益或社会公共利益有灾难性的影响或危害。

2）特别重大网络安全事件

对下城区政府信息系统业务活动、单位利益或社会公共利益有极其严重的影响或危害。

3）重大网络安全事件

对下城区政府信息系统业务活动、单位利益或社会公共利益有极其严重的影响或危害。

4）较大网络安全事件

对下城区政府信息系统业务活动、单位利益或社会公共利益有一定的影响或危害。

5）一般网络安全事件

对下城区政府信息系统业务活动、单位利益或社会公共利益基本不影响或危害极小。

5、分级因素

1）信息密级

2）资产损失

3）社会影响

6、网络安全事件预警分为4级

1）红色预警-特别重大网络安全事件

符合下列情形之一的，为特别重大网络安全事件：

① 重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力。

② 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。

③ 其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

2）橙色预警-重大网络安全事件

① 重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响。

② 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁。

③ 其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

3）黄色预警-较大网络安全事件

① 重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响。

② 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。

③ 其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。

4）蓝色预警-一般网络安全事件

除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。

7、国际、国内的信息安全应急响应流程分别有哪些阶段

应急响应是一种有组织的方法，用于解决和管理安全漏洞或网络攻击（也称为 IT 事件、计算机事件或安全事件）的后果，目标是以限制损害并减少恢复时间和成本的方式处理这种情况。

在计算机和网络安全领域，应急响应是安全工作者为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。

网络安全中应急响应工作流程：

1）准备阶段

此阶段以预防为主，在事件真正发生前为应急响应做好准备，主要包含以下几项内容：

1. 制定用于应急响应工作流程的文档计划，并建立一组基于威胁态势的合理防御措施。

2. 制定预警与报警的方式流程，建立一组尽可能高效的事件处理程序。

3. 建立备份的体系和流程，按照相关网络安全政策配置安全设备和软件。

4. 建立一个支持事件响应活动的基础设施，获得处理问题必备的资源和人员，进行相关的安全培训，可以进行应急反映事件处理的预演方案。

需要熟悉自身的情况，做到知己，准备阶段的核心：

网络拓扑：IP分布、安全域的划分、能够上外网的区域、边界的访问控制等，出来一个IP就知道在哪个区域

安全设备：已有的安全防御措施，waf、IPS、TIP、soc、hids、终端管控、杀毒软件这些防御将在应急响应过程中大大提高应急效率，节省很多宝贵时间

备份情况：企业是否具有备份，在处理勒索病毒时，非常有用

应急预案：应急过程是高强度、争分夺秒的事情，在这种情况下很难考虑周全，因此需要事前做预案，对各种可能情况进行冷静、理智分析，包括解决方案、操作步骤、联系人员

应急演练：确保应急预案可用，流程顺畅，因此需要事前进行演练，查找预案的不足，及时进行更正，确保预案可行性。

预案中最主要的是人员通讯录，明确分工和职责，至少需要一位总指挥，见过太多无头应急，失败已经是注定的。

2）检测阶段

识别和发现各种网络安全紧急事件。一旦被入侵检测机制或另外可信的站点警告已经检侧到了入侵，需要确定系统和数据被入侵到了什么程度。入侵响应需要管理层批准，需要决定是否关闭被破坏的系统及是否继续业务，是否继续收集入侵者活动数据。通报信息的数据和类型，通知什么人。主要包括以下几种处理方法：

1. 布局入侵检测设备、全局预警系统，确定网络异常情况;

2. 预估事件的范围和影响的严重程度，来决定启动相应的应急响应的方案;

3. 事件的风险危害有多大，涉及到多少网络，影响了多少主机，情况危机程度;

4. 确定事件责任人人选，即指定一个责任人全权处理此事件并给予必要资源;

5. 攻击者利用的漏洞传播的范围有多大，通过汇总，确定是否发生了全网的大规模入侵事件;

6. 一般典型的事故现象包括：账号被盗用、骚扰性的垃圾信息、业务服务功能失效、业务内容被明显篡改、系统崩溃、资源不足。

3）抑制阶段

在入侵检测系统检测到有安全事件发生之后，抑制的目的在于限制攻击范围，限制潜在的损失与破坏，在事件被抑制以后，应该找出事件根源并彻底根除;然后就该着手系统恢复，把所有受侵害的系统、应用、数据库等恢复到它们正常的任务状态。

收集入侵相关的所有资料，收集并保护证据，保证安全地获取并且保存证据。

确定使系统恢复正常的需求和时间表、从可信的设备介质中恢复用户数据和应用服务。

抑制采用的方式可能有多种，包括：关掉已受害的系统、断开网络、修改防火墙或路由器的过滤规则、封锁或删除被攻破的登录账号、关闭可被攻击利用的服务功能。

4）根除阶段

通过对有关恶意代码或行为的分析结果，找出事件根源明确相应的补救措施并彻底清除，并对攻击源进行准确定位并采取措施将其中断;清理系统、恢复数据、程序、服务，把所有被攻破的系统和网络设备彻底还原到正常的任务状态。

总之，信息安全应急响应体系应该从以上几个方面来更加完善，统一规范事件报告格式，建立及时堆确的安全事件上报体系，在分类的基础上，进一步研究针对各类安全事件的响应对策，从而建立一个应急决策专家系统，建立网络安全事件数据库，这项工作对于事件应急响应处置过程具有十分重要的意义。　　

对事件的确认仅是初步的事件分析过程。事件分析的目的是找出问题出现的根本原因。在事件分析的过程中主要有主动和被动2种方式。

5）恢复阶段

让系统恢复破坏之前的正常运行环境。恢复阶段的主要任务是把被破坏的信息彻底地还原到正常运作状态。确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据、打开系统和应用服务、恢复系统网络连接、验证恢复系统、观察其他的扫描、探测等可能表示入侵者再次侵袭的信号。一般来说，要成功地恢复被破坏的系统，需要维护干净的备份系统，编制并维护系统恢复的操作手册，而且在系统重装后需要对系统进行全面的安全加固。

6）跟踪阶段

跟进阶段的主要任务是回顾并整合应急响应过程的相关信息，进行事后分析总结、修订安全计划、政策、程序并进行训练以防止再次入侵，基于入侵的严重性和影响，确定是否进行新的风险分析、给系统和网络资产制定一个新的目录清单，如果需要，参与调查和起诉。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。

跟踪阶段的工作主要包括三个方面的内容：

1. 形成事件处理的最终报告。

2. 检查应急响应过程中存在的问题，重新评估和修改事件响应过程。

3. 评估应急响应人员相互沟通在事件处理上存在的缺陷，以促进事后进行有针对性的培训。

8、国内信息安全应急响应-5大阶段

应急响应是安全工作的重点和难点，由于响应过程中压力比较大，难免出现手忙脚乱的情况，因此怎样做好应急响应工作是对一个安全团队的最好考量。

怎样发现出现问题的?

主机向外发送大量数据包?
主机资源瓶颈(CPU跑满 -> 挖矿，磁盘满了->数据下载)
安全监控报警(日志报警)
威胁情报(用户诈骗投诉电话、SRC威胁情报、暗网监控)
主机运行比较慢?

1）事件通告

2）事件分级与定级

3）应急启动

应急响应启动时，一般是安全事件已经开始，因此目标就是快速解决安全事件，核心目标就是快速止损，控制风险到可接受范围。

响应工作：

1. 收集受影响的主机信息和取证相关恶意程序。
2. 收集相关的日志信息包括但不限于网络流量日志、防火墙日志、系统安全日志、审计日志、web服务器日志、数据库日志和其他相关日志。
3. 对已掌握的线索进行深入分析，并对其攻击类型进行分析和定性，如网络攻击(端口扫描、账号破解、POC扫描、DDoS)、恶意程序(病毒、勒索/挖矿木马、后门)等。
4. 在根据分析结果对本次事件的发起时间点进行确认，定位攻击源头，确保受影响服务和失陷主机
最终是以时间为线梳理出来的完整攻击路径。

4）应急处置

真实操作中，处置与响应基本上同时进行，而且处置是止损的关键。主要操作的方法：

封锁公网IP：一般是攻击者的服务端公网IP地址
封域名：内网dns封掉回连dns
线下被感染的主机：网络隔离掉被感染的主机
恶意软件采样：恶意文件
后门账号：清理后门账号
横向排查：此类相关问题进行横向排查，确认是否有相关问题 ,比如确认恶意木马，计算hash，在HIDS检索，确认其他机器是否存在相同文件

5）后期处理

1. 网络特征分析及追踪溯源

攻击IP相关信息，木马的C2地址。

2. 文件特征分析及追踪溯源

文件hash关联。
编译信息(编译语言、编译时间、编译器信息、调试信息等)。
数字签名伪造或滥用。

3. 代码特征分析以及追踪溯源

经过逆向分析提取恶意程序代码片段和字符串，进行Hunting分析，关联相似样本和进行代码同源分析。

行为特征分析，根据该样本使用的技术特征进行关联和扩展。

9、网络安全应急组织体系

1）领导小组

按照规定成立网络与信息安全领导小组。

2）技术小组

3）辅助小组

指定安全管理人员，并将具体安全管理和运维职责分解到人。

10、信息系统故障上报程序

当故障发生时应以电话（口头）、传真的方式立即向安全领导小组办公室报告。

1. 出现一般信息系统故障，应立即上报安全领导小组办公室。

2. 出现重大信息系统故障，应立即上报安全领导小组办公室；安全领导小组办公室负责上报安全领导小组。

故障发生后应向安全领导小组办公室提交以下材料：

1. 故障发生说明：详细阐述故障发生的时间、现象和原因。

2. 故障处理说明：主要阐述处理过程中所使用的手段和办法。

3. 分析报告：主要阐述故障的处理结果、故障分析和合理化建议，同时对造成的经济损失做出评估。

11、信息系统故障处理程序

信息系统故障的处理程序包括故障解决、故障调查、责任界定和处理。

1）故障的解决

1. 出现一般信息系统故障，按照应急计划启用备份系统，同时应抓紧自行或在信息中心等技术人员指导下解决。

2. 重大信息系统故障处理

① 安全领导小组办公室接到报告后，立即组织有关人员分析故障原因，初定应急方案。

② 信息安全领导小组负责人上报单位领导，确定最终解决方案。

③ 信息安全领导小组负责人必要时带领有关技术人员亲临现场，同时组织、协调信息系统服务商进行技术支持。

④ 信息安全领导小组及时将故障处理情况上报单位领导，做好上情下达、下情上报工作。

2）信息系统故障的调查

① 信息安全领导小组办公室负责组织对信息系统故障的调查、责任界定等工作，必要时可申请相关部门协助或组织专家进行鉴定。

② 在信息系统故障调查过程中所发现的薄弱环节，形成文字材料上报并要求限期整改。

3）责任界定和处理

① 对于由主观因素引起的一般信息系统故障，每一年度首次发生对当事人及责任人给予口头警告；第二次发生对当事人及责任人给予通报批评；第三次发生对当事人调岗。

② 对于主观因素引起的重大信息系统故障，对当事人及相关部门负责人予以通报批评；影响较大的，对当事人及相关部门负责人调离岗位。

③ 对于客观因素引起的一般信息系统故障，根据实际情况予以酌情处理。

④ 对于客观因素引起的重大信息系统故障，根据具体情节予以警告、通报。

4）下列情况可以免责

① 经应急工作小组论证，确属小概率或偶发性事件引起的信息系统故障。

② 不可抗力引发的信息系统故障等。

5）故障的总结与通报

① 信息安全领导小组办公室负责对技术故障做出书面总结，报信息安全领导小组审阅后存档。

② 信息安全领导小组办公室负责对重大技术故障进行通报。

12、故障的总结与通报

1）信息系统故障的防范原则是：预防为主、及时处理、力争把故障的损失降低到最小。

2）信息中心负责制定、完善和落实计算机信息系统的规章制度、管理办法和操作规程等，建立完善的制度保障体系，保证技术人员做到有章可循。

3）加强对单位信息技术人员的思想、业务和技术培训教育，提高其综合素质，避免人为操作失误的发生，提高应急分析处理能力。

13、完善应急计划和加强应急演练

1）信息中心制定本部门信息系统故障应急计划，尽可能确定可能发生的故障类别和故障点，并保证应急方案具有较强的可操作性。

2）信息系统故障应急计划要分类装订成册并粘贴在适当位置。

3）每年定期（至少一次）对系统相关人员进行应急预案培训及演练，对演练过程、演练结果及应急演练培训内容详细记录并归档保存，根据演练结果完善应急计划。

三、网络安全事件应急响应实战

1、应急响应流程

应急响应分为六个阶段，分别是：

准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结

这种划分方法也称PDCERF方法。

实际上，应急响应并不是严格遵从这个方法的，大多数情况都要具体问题具体分析：

1. 准备阶段

以预防为主，主要是要进行风险评估等工作，包括建立信息安全管理体系、部署安全设备和安装防护软件、建立应急响应和演练制度等等。

2. 检测阶段

这个阶段是在安全事件发生后的，主要是判断安全事件是否还在发生，安全事件产生的原因，对业务的危害程度以及预计如何处理。

常见的安全事件有：

中病毒（勒索、挖矿等）
信息泄露（账号信息、敏感资料）
业务服务被破坏（网页篡改、破坏，数据被删等）
系统崩溃、网络瘫痪（ddos、批量请求）

3. 抑制阶段

抑制阶段主要是尽可能降低安全事件带来的损失，限制安全事件发生的范围和时长

一些抑制手段有：

断开网络
关闭受影响的系统
暂停受影响账号的使用
修改ACL
关闭未受到影响的其他业务
蜜罐

4. 根除阶段

这个阶段是找出安全事件的根源，并完成清除掉隐患，避免安全事件二次发生。

5. 恢复阶段

这个阶段是系统恢复到安全事件发生前的正常运行状态，并把备份数据恢复过来。

6. 总结阶段

这个阶段是总结这个安全事件的发生过程，并以此对涉事单位的安全技术配置、安全管理制度等进行分析评审，并以此为基础确定是否还会有新的风险，最后输出整改建议，包括安全设备采购、安全管理制度修订等。

这个阶段可以输出：

应急响应报告，包括安全事件发生流程、造成的危害、处置的方法
企业问题清单

7. 现场处置流程

在现场中，首先通过访谈和现场确认，大概确认事件类型，再以此作针对性访谈和检查，然后制定应急方案，再逐步排查系统、进程、服务、文件痕迹、日志等。

2、系统排查

1）系统信息

1. windows

系统信息工具：msinfo32.exe

命令行msinfo即可打开：

展开软件环境：

此工具可进行以下信息的排查：

系统驱动（描述、文件、开启状态等）
正在运行的任务（名称、路径、进程ID）
加载的模块
服务（名称、路径、状态等）
启动程序（命令、用户名、位置等）

查看系统信息：

cmd > systeminfo

2. linux

OS信息：

uname -a

OS版本信息：

cat proc/version

已载入模块信息：

lsmod

CPU信息：

lscpu

2）用户信息

1. windows用户信息

cmd > net user
cmd > net user username

上面的方法查看不了隐藏账户，解决：计算机管理—本地用户和组：

注册表-HKEY_LOCAL_MACHINE-SAM-SAM-Domains-Account-Users-Names

这种方法可排查windows是否利用隐藏账户进行提取（导出F值查看是否有一样的）。

2. linux

查看所有用户信息：

cat etc/passwd

用户名:x(代表密码加密):用户ID:用户组:注释:用户主目录:默认登录shell

bin/bash可登录、sbin/nologin不可登录。

查看超级权限账户：

awk-F： '{if（$3==0）print $1}'/etc/passwd

说明：

-F fs 指定描绘一行中数据字段的文件分隔符 默认为空格，这里为:
以:分隔字符，分割所有行，形成二维的字符矩阵，如果矩阵中第三列的值为0(即超级权限账户)，打印出第一列字符(即账户名)

查看可登录账户：

cat etc/passwd | grep 'bin/bash'

查看错误的用户登录信息：

lastb

查看所有用户最后一次登录信息：

lastlog

查看用户最近登录信息：

/$  last

数据源：

/var/log/wtmp wtmp存储登录成功的信息
/var/log/btmp btmp存储登录失败的信息
/var/log/utmp）utmp存储当前正在登录的信息

3）启动项

1. windows系统

任务管理器 - 启动项：

注册表：

HKEY_CLASSES_ROOT：确保在Windows资源管理器中执行时打开正确的程序；
HKEY_CURRENT_USER：登录用户的配置、有用户的文件夹、屏幕颜色、控制面板设置；
HKEY_LOCAL_MACHINE：计算机硬件信息、驱动；
HKEY_USERS：所有用户配置文件的配置信息；
HKEY_CURRENT_CONFIG：系统当前配置；

2. Linux

rc.local 启动加载文件

Linux中有两个，分别在etc/re.local和etc/init.d/rc.local，修改这两个文件可修改启动项：

查看init.d下的文件：

4）任务计划

攻击者可利用任务计划实现病毒的长期驻留。

1. windows

计算机管理 — 任务计划程序 — 任务计划程序库 —

powershell > Get-ScheduledTask

cmd > schtasks

2. Linux

terminal /$ crontab -l
terminal /$ crontab -u username -l

查看所有任务计划文件：

cat etc/cron*

5）防火墙规则

Windows防火墙规则：

3、进程排除

进程：系统资源分配和调度的基本单位。

1. windows

任务管理器：

cmd > tasklist

进程和服务对应：

cmd > tasklist /svc

加载dll进程：

tasklist /m

加载特定dll：

 tasklist /m name.dll

查看正在进行网络连接的进程：

cmd > netstat -ano | findstr 'ESTABLISHED'

-a 显示所有连接

-n数字形式显示地址和端口

-o显示进程id

此外，还可以利用powershell和vmic命令进行查询。

2. Linux

netstat -ap p 显示进程ID和名字
-a 所有

特定pid对应的执行程序：

ls -alt /proc/PID

查看进程打开的文件：

lsof -p PID

杀死进程：

kill -9 PID

删除文件：

rm -rf filename

如root用户也无法删除，则先去掉i属性：

chattr -i filename

查看隐藏进程：

ps-ef|awk '{print}'|sort-n|uniq >1
ls/proc|sort-n |uniq >2
diff 1 2

sort -n 按整体数字大小排序：2 < 10,而不是 10 <2 （这种情况在以文件名排序时经常遇到）
>1  >2 写入文件1 2中
uniq 删除重复出现的行列
awk '{print}' =awk '{print $0}'  每一行由空格隔开 多行组成矩阵，取所有列,应该改为$2
同样，第二各命令应该改为 ls/proc|sort-n | grep -E '[0-9]+' | uniq >2
diff 1 2 对比1 2这两个文件
ps -ef 标准格式显示进程

ps-ef | awk '{print$2}' | sort-n | uniq > 1
ls/proc | sort-n | grep -E '[0-9]+' | uniq > 2
diff 1 2

查看占用资源较多的进程top：

4、服务排查

服务可以看作是长时间运行在后台，不影响其他用户的进程，服务可以在计算机启动时启动，也可以暂停、重新启动。

phpstudy的apache是服务，AWVS14，Nessus也是以服务形式运行。

1. windows服务

运行对话框 — services.msc：

另外，也可以直接在对话框中搜索，或者在任务管理员中打开。

2. Linux 服务

chkconfig --list：这个命令在centOS和redhat可以用，但是Ubuntu和kali中不可用（使用sudo service --status-all）。

5、文件痕迹排查

大部分攻击都会留下文件痕迹的，可以试图从以下几个思路查找文件痕迹：

常见的敏感路径
具有关键字特征的文件
安全事件发生时间

1. windows

1）敏感目录

a）不同版本的系统的临时文件相对来说比较统一，所以攻击者准备好的存放路径往往会选择在临时文件目录temp（tmp）

b）浏览器下载文件

c）用户recent文件，这个文件主要是存储最近运行文件的快捷方式

d）预读取文件Prefetch

2）时间点查找

a）安全事件发生日新增文件

forfiles命令：

forfiles  /m *.exe   /d +2020/2/12   /s   /p c:\   /c "cmd/ c  echo @path @fdate @ftime"2 > null
/m 搜索文件
/d 大于或等于该日期  /dd小于或等于
/s 递归目录和子目录所有文件
/p 开始搜索的路径，这里是c盘
/c cmd/ c为默认，这里表示，返回路径、创建日期、创建时间

文件查看里搜索栏也可以进行相应操作。

b）查看时间发生逻辑错误的文件，如创建2021年，修改是2020年

3）webshell文件

使用d盾、webshellkill等工具查找。

2. linux

1）敏感目录

a）/tmp目录和命令目录/usr/bin/usr/sbin

b)～/.ssh及/etc/ssh经常作为一些后门配置的路径

2）时间点查找

a）攻击日期变动的文件

find ctime -7 -name *.sh-type b/d/c/p/l/f：查找块设备、目录、字符设备、管道、符号链接、普通文件。
-mtime-n+n：按更改时间来查找，-n指n天以内，+n指n天前。
-atime-n+n：按访问时间来查找，-n指n天以内，+n指n天前。
-ctime-n+n：按创建时间来查找，-n指n天以内，+n指n天前。

b）排查创建、修改、访问时间

stat test.php

c）特殊文件

c1.权限为777的文件

find -tmp -perm 777

c2.webshell文件

使用findWebshell、Scan_Webshell.py扫描。

c3.ls-alt/bin查看系统命令修改时间。

c4.Linux后门检测

chkrootkit工具用来监测 rootkit 是否被安装到当前系统中。rootkit是攻击者经常使用的后门程序

c5.排查suid权限的程序

suid权限是用户对文件的权限，对象为文件：

find/-type f -perm -04000 -ls -uid 0 2>/dev/null-type f:根据不同的文件类型筛选  d:目录 c:字型装置文件 b:区块装置文件 p:具名贮列 f:一般文件 l:符号连结 s:socket
-perm -/+mode  -04000
-perm按执行权限查找
+mode指部分满足权限 -mode指完全满足权限（还可以比此权限更高） mode指正好满足权限的 /mode指只要有权限就可以
-04000 -4000
-ls -uid 0 2
-ls  详细信息(创建时间、用户、大小等)
-uid 0 2  对于uid为用户id0-2？

6、日志分析

1. windows日志

当然，也可以直接在事件查看器上查看日志：

1）系统日志

系统组件运行中产生的事件，包括应用程序、组件、驱动程序等，事件包括数据丢失、错误，系统或应用崩溃等。

2）安全性日志

安全日志主要记录安全事件有关的日志，包括登录或退出系统成功或失败信息，对重要文件的操作：

3）应用程序日志

应用程序所产生的各类事件：

4）应急响应中常见的事件id

登录类型和数字对应表：

登录相关日志事件ID对应描述表：

日志被清除相关日志事件ID对应描述表。

5）日志分析

--事件查看器

--powershell

Get-EventLog Security-InstanceId 4672

Get-WinEvent-FilterHashtable @{LogName='Security'；ID='4672'}

--FullEventLogView日志检索工具

2. Linux日志

Linux的日志存储在var/log中：

wtmp   记录登录进入、退出、数据交换、关机和重启
cron     记录与定时任务相关的日志信息
messages    记录系统启动后的信息和错误日志
apache2/access.log    记录Apache的访问日志
auth.log    记录系统授权信息，包括用户登录和使用的权限机制等
userlog     记录所有等级用户信息的日志
xferlog（vsftpd.log）    记录Linux FTP日志
lastlog    记录登录的用户，可以使用命令lastlog查看
secure   记录大多数应用输入的账号与密码，以及登录成功与否
faillog    记录登录系统不成功的账号信息

1）查看日志

cat var/log/logname

查看邮件相关日志记录文件：

ls -alt /var/spool/mail

2）日志分析

tail-n 10 test.log查询最后10行的日志           head-n 10 test.log查询头10行的日志
tail-n+10 test.log查询10行后的所有日志      head-n-10 test.log查询除最后10行的其他所有日志

3）其他日志

IIS日志的位置：

%SystemDrive%\inetpub\logs\LogFiles；
%SystemRoot%\System32\LogFiles\W3SVC1；
%SystemDrive%\inetpub\logs\LogFiles\W3SVC1；
%SystemDrive%\Windows\System32\LogFiles\HTTPERR；

可通过cmd > set查看%SystemDrive%和%SystemRoot%

apache日志：

/var/log/httpd/access.log；
/var/log/apache/access.log；
/var/log/apache2/access.log；
/var/log/httpd-access.log；

ngnix日志：

默认在/usr/local/nginx/logs目录下，access.log是访问日志，error.log是错误日志。如不在默认目录下,可以在ngnix.conf中查找.

oracle数据库：

select * from v$logfile查询日志路径(默认为$ORACLE/rdbms/log)
select * from v$sql查询之前使用过的SQL

mysql数据库：

show variables like 'log_%'查看是否启用日志
show variables like 'general'查看日志位置(默认为/var/log/mysql/)

7、内存分析

有时候对应急响应服务器进行内存的提取，可以分析处其中的隐藏进程。

1）内存的获取

① 基于内核模式程序的内存获取

这种方法一般是使用工具抓取，常用工具有FTK Imager、Dumpit、RAM Capture等

② 基于系统崩溃转储的内存获取

所有控制 — 系统 — 高级 — 启动和故障恢复 — 设置 — 启动和故障恢复 — 核心内存转储 — 找到转储文件进行获取。

③ 基于虚拟机快照

VMwareWorkstation在生成快照时会自动生成虚拟内存文件，如图vmen文件

2）内存的分析

① Redline

可通过Redline导入分析，Redline会收集在主机上运行的有关进程信息、内存中的驱动程序，以及其他数据，如元数据、注册表数据、任务、服务、网络信息和Internet历史记录等，最终生成报告。

② Volatility

Volatility可以分析入侵攻击痕迹，包括网络连接、进程、服务、驱动模块、DLL、handles、进程注入、cmd历史命令、IE浏览器历史记录、启动项、用户、shimcache、userassist、部分rootkit隐藏文件、cmdliner等。

8、流量分析

Wireshark是一个网络封包流量分析软件。其功能是获取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPcap作为接口，直接与网卡进行数据报文交换。

筛选器：

1. 特定目的地址：ip.addr==ip

2. 特定源地址：ip.src==ip

3. 特定协议：直接输入http、http2、arp(小写)等

4. 特定端口：tcp.port==port / udp.port==port

5. 关键字：tcp contains 关键字

9、威胁情报

威胁情报的定义是基于证据的知识，包括上下文、机制、指标、隐含和可操作的建议，针对一个现存的或新兴的威胁，可用于做出相应决定的知识。 ——Gartner

结合威胁情报可以了解攻击者的信息

IOC（Indicator of Compromise）通常指在检测或取证中，具有高置信度的威胁对象或特征信息。

威胁情报金字塔：

顶端的情报获取成本最高，同时也是价值最大的：

IOC（Indicator of Compromise）通常指在检测或取证中，具有高置信度的威胁对象或特征信息。

常用的威胁情报库/社区：

微步在线
Venuseye威胁情报中心
奇安信威胁情报中心
360威胁情报中心