告警分析、应急响应流程

2024-04-25 18:28:01

1.威胁情报类告警分析流程

1.确认事件的真实性
2.查询IOC的情报信息——IOC的时效性、相关的情报信息等
3.定位受害ip，确定攻击ip是在内网还是外网
4.排除误报，排除因内部人员操作引起的误报
5.关联分析——定位被扩散的资产，攻击源是否进行了横向渗透,进行了哪些相关的操作,造成了何种后果
6.溯源分析
把时间向前推进5-10分钟,是攻击者首次攻击的时间，分析攻击者是以哪种漏洞进行攻击的，什么方式，何种手段攻击进来的，我们要以何种方式去解决
7.提出处置建议+出报告

2.应急响应流程

应急响应流程：
1、准备阶段:安装必要的工具集合。天眼、PChunter、 Everything等工具
2、检测阶段:分析所有可能得到的信息来判定安全事件和确定入侵行为的特征。天眼、威胁情报、进程、启动项、计划任务等。
3、抑制阶段:限制事件扩散和影响的范围。防火墙策略、关闭端口、业务下线、断网等。
4、根除阶段:通过事件分析查明事件危害的方式，并且给出清除危害的解决方案。清除攻击载荷、杀毒、修复漏洞、打补丁等。
5、恢复阶段：把被破坏的信息彻底地还原到正常运作状态，业务连续性。
6、跟踪阶段:检查后续业务状态，产出应急响应报告，重新评估和修改事件响应过程，复盘。

告警分析、应急响应流程相关推荐

如何做好应急响应工作？常见应急响应流程
一.前言这是博主对于应急响应归纳出来的方法论,一个笼统的.抽象的概念,包含思路和方法. 二.常见应急响应流程这是博主自己的经验总结出来的应急响应流程,也是亲自去应急时的流程. 三.响应这里不讨论 ...
网络安全应急响应流程
网络安全应急响应流程国家网信办6月27日印发<国家网络安全事件应急预案>(下称<预案>),包括勒索病毒在内的有害程序事件被明确为网络安全事件的种类之一,针对事件的监测预警.应 ...
红蓝对抗-记一次HW攻防实战应急响应流程
记一次HW攻防实战应急响应流程文章目录记一次HW攻防实战应急响应流程背景溯源后续反思背景记一次今年五月份为期两周的的HVV应急演练. 红队发表了攻击报告,直接给我们扣了七千多分. 客户和 ...
从后渗透分析应急响应的那些事儿（二）免杀初识篇
从后渗透分析应急响应的那些事儿(二)免杀初识篇文章首发于freebuf Tidesec专栏 https://www.freebuf.com/column/204005.html,转载到个人博客记录, ...
应急响应流程以及入侵排查
归纳转载于: 应急响应的整体思路和基本流程 - FreeBuf网络安全行业门户不管是普通的企业,还是专业的安全厂商,都不可避免的需要掌握和运用好信息安全的知识.技能,以便在需要的时候,能够御敌千里.h ...
window操作系统服务器应急响应流程
常见的应急响应事件分类: web 入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门网络攻击:DDOS 攻击.DNS 劫持.ARP 欺骗针对常见的攻击事件,结合工作 ...
Linux 应急响应流程及实战演练
当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为 ...
【安全服务】应急响应1：流程、排查与分析
目录一.应急响应流程 1 准备阶段 2 检测阶段 3 抑制阶段 4 根除阶段 5 恢复阶段 6 总结阶段现场处置流程二.系统排查 1.系统信息 2.用户信息 3 启动项 4 任务计划 5 其他: ...
应急响应的整体思路和基本流程
2018 年信息安全事件频发,信息安全的技能.人才需求大增.现在,不管是普通的企业,还是专业的安全厂商,都不可避免的需要掌握和运用好信息安全的知识.技能,以便在需要的时候,能够御敌千里.所谓养兵千日, ...

最新文章

热门文章