应急响应
应急响应
响应流程
1、事件发生:运维监控人员、客服审核人员等发现问题,进行安全告警。
2、事件确认及分类:收集事件信息、分析网络活动相关程序,日志和数据,判断事件的严重性,评估出问题的严重等级,是否向上进行汇报等。
3、事件响应:各部门通力合作,处理安全问题,具体解决问题,避免存在漏洞未修补、后门未清除等残留问题。
4、事件关闭:处理完事件之后,需要关闭事件,并写出安全应急处理分析报告。
分析方向
文件分析
从以下三个方面进行文件分析:
- 文件日期
- 文件增改
- 最近使用文件
日志分析
- Linux系统日志分析
- Windows系统日志分析
- 应用日志分析
tomcat
nginx
apache
……
Linux系统日志文件存放在/var/log目录下面。
Windows系统查看日志文件的方法:
右击”此电脑或者计算机”—>”管理”—>”系统工具”—>”事件查看器”
进程分析
- CPU或内存资源占用过多、时间过高
- 进程的路径不合法
- 正在运行的进程
- 正在运行的服务
- 正在运行的程序
- 计划任务
- 文件哈希查看
Linux系统:
Windows系统:
身份信息分析
- 本地以及域用户
- 异常的身份验证
Linux系统:
Windows系统:
网络分析
- 网络设备配置
- DNS配置
- 路由配置
- 监听端口和相关服务
- 最近建立的网络连接
- RDP/VPN/SSH等会话
Linux系统:
Windows系统:
配置分析
- 查看SELinux,firewall配置
- 查看环境变量
Linux系统:
Windows系统:
监控查看
查看Zabbix