- 1
- 0
- 约2.35千字
- 约 11页
- 2022-07-12 发布于江西
- 举报
角色和责任分工、文档设计与编写
课程级别
信息安全专业工业互联网安全方向。
实验概述
此实验主要内容是掌握在应急响应准备阶段各角色的主要工作。
实验目标
熟悉应急响应领导小组的准备工作;
熟悉应急响应实施小组的准备工作;
熟悉应急响应日常运行小组的准备工作。
预备知识
熟悉应急响应组织架构
熟悉应急响应报告规划与编写
建议课时数
4个课时
实验环境准备
实验时硬件环境:单核CPU、2G内存、30G硬盘
需要能够支持系统连接网络的网络环境
Office Word 2019
Windows Server 2003 操作系统
实验步骤
任务一 应急响应领导小组准备工作
制定工作方案和计划;
提供人员和物质保证;
审核并批准经费预算、恢复策略、应急响应计划;
批准并监督应急响应计划的执行;
指导应急响应实施小组的应急处置工作;
启动定期评审、修订应急响应计划以及负责组织的外部协作。
任务二 应急响应实施小组准备工作
记录时使用目录及文件名约定:
在受入侵的计算机的C盘根目录下(C:\)建立一个EEAN目录,目录中包含以下子目录:
artifact:用于存放可疑文件样本??
cmdoutput:用于记录命令行输出结果????
screenshot:用于存放屏幕拷贝文件????
log:用于存放各类日志文件
图1
搜集操作系统基本信息
右键点击“我的电脑属性”?将“常规”、“自动更新”、“远程”3个选卡各制作一个窗口拷贝(使用Alt+PrtScr)。并保存到EEAN\screenshot目录下,文件名称应该使用:系统常规-01、自动更新-01、远程-01等形式命名
图2
图3
图4
将以上三张屏幕截图重命名后统一放入screenshot文件夹中
图5
进入CMD状态,“开始??运行?cmd”,进入C盘根目录下的EEAN目录下的cdmoutput子目录,执行以下命令:
netstat-naonetstat.txt(网络连接信息)
tasklisttasklist.txt?(当前进程信息)
ipconfig/allipconfig.txt (IP属性)
verver.txt?(操作系统属性)
图6
收集日志信息
进入管理工具,将“管理工具?事件察看器”中,导出所有事件到C:\EEAN \ log文件夹,“右键 导出列表”分别使用以下文件名保存:application.txt、security.txt、system.txt。
图7
图8
图9
图10
收集账号信息
使用net?user,net?local?group命令检查帐号和组的情况,使用计算机管理查看本地用户和组,将导出的信息保存在D:\EEAN\user中。
net user 命令
图11
net localgroup 命令
图12
在计算机管理中查看并导出
图13
图14
图15
日志检查
检查事件查看器中的系统和安全日志信息,比如:安全日志中异常登录时间,未知用户名登录;
检查%WinDir%\System32\LogFiles?目录下的WWW日志和FTP日志,比如WWW日志中的对cmd.asp文件的成功访问。
账号检查
通过询问管理员或负责人,或者和系统的所有的正常帐号列表做对比,判断是否有可疑的陌生的账号出现,利用这些获得的信息和前面准备阶段做的帐号快照工作进行对比进程检查
使用任务管理器检查或使用进程查看工具进行查看,利用这些获得的信息和前面准备阶段做的进程快照工作进行对比,判断是否有可疑的进程。
服务检查
使用“管理工具”中的“服务”查看非法服务或使用冰刃、Wsystem查看当前服务情况,利用这些获得的信息和准备阶段做的服务快照工作进行对比。
自启动检查
检查系统各用户“启动”目录下是否存在未授权程序。
网络连接检查
关闭所有的网络通讯程序,以免出现干扰,然后使用ipconfig,?netstat?-an或其它第三方工具查看所有连接,检查服务端口开放情况和异常数据的信息。
共享检查
使用net?share或其他第三方的工具检测当前开放的共享,使用$是隐藏目录共享,通过询问负责人看是否有可疑的共享文件。
文件检查
使用防病毒软件检查文件,扫描硬盘上所有的文件,将可疑文件进行提取加密压缩成.zip,保存到EEAN\artifact目录下的相应子目录中。
任务三 应急响应日常运行小组准备工
您可能关注的文档
- 工控安全职业证书技能实践:文件及程序安全权限配置实战.pptx
- 工控安全职业证书技能实践:工控已知漏洞验证与实战.docx
- 工控安全职业证书技能实践:交换机安全权限配置实战.pptx
- 工控安全职业证书技能实践:工控网络安全设备、网络连接和部署实战.docx
- 工控安全职业证书技能实践:资产分析报告设计与编写.pptx
- 工控安全职业证书技能实践:工控协议安全配置.pptx
- 工控安全职业证书技能实践:工业互联网脆弱性分析实战.docx
- 工控安全职业证书技能实践:系统账户安全权限配置实战.pptx
- 工控安全职业证书技能实践:工控网络抓包与分析实战.pptx
- 工控安全职业证书技能实践:网络服务安全权限配置实战.pptx
最近下载
- 制造业信息化战略规划实施与优化-PDM.docx VIP
- 那智不二越机器人flexgui toolbox操作说明书.pdf VIP
- 智慧工厂-智慧工厂解决方案.docx VIP
- 高中化学解题方法归纳:和量法.doc VIP
- 译林牛津新版高中英语(必修1-3)单词表.pdf VIP
- 包装有限公司分切机安全风险分级清单.docx VIP
- 重庆市西南大学附属中学2025届高三下学期二诊模拟考试物理试卷 含解析.docx VIP
- 【高中英语】《星火英语同步词汇》抗遗忘速记手册.docx VIP
- 成都市锦江区2026届初三一诊(暨期末考试)数学试卷(含答案).docx
- 三坐标 培训教程.pptx VIP
原创力文档

文档评论(0)