文章目录
前言
面对各种各样的突发的安全事件,我们怎么处理呢?这是一个关于安全事件应急响应的事件处理及分析。
一、应急响应是什么?
“应急响应”(Incident Response / Emergency Response),顾名思义,是指为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。
二、应急响应工作流程
准备阶段:人员,工具,服务需求和方案,服务合同或协议。
检测阶段:对网络安全事件做出初步的动作和响应,预估事件的范围和影响程度,制定进一步的响应策略。
抑制阶段:限制攻击范围,抑制潜在的攻击和破坏。
根除阶段:通过有关恶意代码和行为的分析,找出导致网络安全事件发生的根源,并彻底消除。
恢复阶段:恢复网络安全事件所涉及到的系统,还原至正常状态。
总结阶段:回顾整个过程,整理相关信息,进行总结,记录到文档中。
三、应急响应排查方法
1.Window入侵排查
1)检查系统账号安全
2)检查异常端口、进程
3)检查启动项、计划任务、服务
4)检查系统版本以及补丁信息
工具推荐:
2.Linux入侵排查
1)检查账号安全
2)检查历史命令
3)检查端口
4)检查进程
5)检查开机启动项
6)检查定时任务
7)检查服务
8)检查系统日志
工具推荐:
四、Windows实战
五、Linux实战
六、Web实战
总结
以上就是今天要讲的内容,本文仅仅简单介绍了什么是应急响应以及应急响应的工作流程,而其他内容将在以后的篇章中继续进行编写。
版权归原作者 @小棠 所有, 如有侵权,请联系我们删除。