网络安全应急处置报告模版.docxVIP

Xxxx事件应急处置报告

PAGE1

PAGE2

XXXX单位XXXX事件

应急处置报告

目录

TOC\o1-3\h\z\u1 事件概述 3

2 事件处置过程 3

2.1 确认基本信息 3

2.1.1 异常现象 3

2.1.2 IP地址及网络访问关系 3

2.2 异常排查过程 3

2.2.1 系统排查 3

2.2.2 日志分析 4

2.2.3 样本分析 5

2.3 修复阶段 5

2.4 总结阶段 5

2.5 安全建议 5

3 附录 5

3.1 勒索病毒事件 5

3.2 挖矿木马事件 6

3.3 数据泄漏事件 7

3.4 网页篡改事件 8

3.5 钓鱼邮件事件 9

3.6 拒绝服务攻击事件 10

事件概述

事件现象

事件原因

开始处理时间

处理结束时间

事件处置过程

确认基本信息

异常现象

IP地址及网络访问关系

异常排查过程

系统排查

检查项

检查结果

主机是否存在可疑账户、新增账户

主机是否存在默认共享

主机是否安装杀毒软件

检查主机是否存在弱口令

检查异常网络连接

检查是否存在异常进程

检查进程是否存在异常注入的DLL

检查是否存在异常启动项

检查是否存在异常的计划服务

检查是否存在异常的自启动脚本

检查是否存在异常的系统服务

检查是否存在异常的注册表启动项

检查系统环境变量是否异常

检查TEMP目录是否存在异常文件

检查RECENT文件是否存在异常

检查%APPDATA%下是否存在异常

检查%WINDOWS%下是否存在异常

检查注册表下是否存在其它异常

检查系统补丁更新情况

日志分析

主机日志

安全设备日志

Web日志

样本分析

修复阶段

总结阶段

安全建议

附录

勒索病毒事件

事件现象

文件后缀被篡改，无法正常打开

出现勒索提示信息，要求用户支付赎金

业务系统无法正常访问

应急处置

确认感染主机及感染范围，如：杀毒软件、IDS、主机日志、用户报告等

立即将感染主机进行断网隔离，保留日志、截图、样本等

确认事件原因，如：弱口令、安全漏洞、钓鱼邮件、开放的服务和端口等；

清除勒索病毒，如：使用杀毒软件、专杀工具、重装系统等；

通过备份数据、解密工具等进行数据恢复；

系统安全加固，如：修改弱口令、更新补丁、加固操作系统和应用软件配置等

总结经验教训，如：调整安全策略、开展安全意识培训等

安全建议

部署杀毒软件及安全设备，如防火墙、IPS、流量分析等

在企业网络中进行必要的网段划分和区域隔离

依据最小权限原则，配置网络访问控制策略

配置和加固操作系统和应用软件，如禁用不必要或未使用的功能、实施应用程序日志记录和审核、及时测试并更新供应商补丁等

针对员工进行安全意识培训，如不要使用弱口令、不要随意下载可疑的邮件附件、不要点击可能包含恶意内容的网站连接、不要下载或安装来自于非信任网站上的应用程序等

定期进行数据备份，并验证数据恢复的有效性

优化和完善勒索病毒事件的应急通报和应急处置流程

挖矿木马事件

事件现象

操作系统CPU异常升高

系统和服务响应缓慢

安全设备告警

应急处置

确认受影响主机及影响范围，如：杀毒软件、IDS、主机日志、用户报告等

立即将感染主机进行断网隔离，保留日志、截图、木马样本

确认事件原因，如：弱口令、漏洞、开放的服务和端口等；

清除挖矿木马，如：杀毒软件、专杀工具、重装系统等；

恢复系统功能，监控系统运行状态；

安全配置加固，如：修改弱口令、更新补丁、配置和加固操作系统和应用软件等

总结经验教训，如：调整安全策略、开展安全意识培训等。

安全建议

部署杀毒软件及安全设备，如防火墙、IPS等；

在企业网络中进行必要的网段划分和区域隔离；

依据最小权限原则，配置网络访问控制策略；

定期开展渗透测试，及时整改安全问题

定期漏洞扫描，及时测试并安装补丁程序，修复安全漏洞

实施系统安全加固，如禁用不必要或未使用的功能、开启应用程序日志记录和审核等；

定期进行数据备份，并验证数据恢复的有效性

优化和完善挖矿木马事件的应急通报和应急处置流程

数据泄漏事件

事件现象

外部通报或客户投诉

内部监测发现

安全设备告警

应急处置

分析数据泄露内容、数据量级，确定事件影响程度和影响范围

调查数据泄露原因，如：内部人员泄密、黑客攻击等

向所在地公安机关和上级监管部门进行事件报告

对已泄露数据进行下线或删除处理，如第三方代码平台、网盘等

系统安全加固，如：更改密码、更新补丁、配置和加固操作系统和应用软件等

恢复系统功能和系统数据

总结经验教训，如：调整安全策略、开展安全意识培训等

安全建议

跟踪了