安全应急响应应急响应知识手册20180723-张永印.docxVIP

应急响应手册

应急响应手册

导致应急事件原因大型企业的业务模式多，对外暴露的服务也多。

导致应急事件原因

大型企业的业务模式多，对外暴露的服务也多。

由于对外暴露的服务多，导致被攻击的面也会扩大。黑产团伙每天都会利用秒杀型漏洞批量扫描全网IP

应急响应目的判断这次应急是否是被成功入侵的安全事件找到攻击者入口点

应急响应目的

判断这次应急是否是被成功入侵的安全事件找到攻击者入口点

提取恶意样本

帮助客户梳理攻击者的攻击路线，提供漏洞修复方案

应急响应技能栈1、Windows常用命令与分析工具2、Linux常用命令与日志分析

应急响应技能栈

1、Windows常用命令与分析工具2、Linux常用命令与日志分析

3、常规安全事件的处置

Windows基础

Windows基础

1、文件排查

2、进程排查

3、系统信息排查

4、工具排查

5、日志排查

文件排查开机启动有无异常文件

文件排查

开机启动有无异常文件

【开始】?【运行】?【msconfig】

文件排查敏感的文件路径

文件排查

敏感的文件路径

%WINDIR%

%WINDIR%\system32\

%TEMP%

%LOCALAPPDATA%

%APPDATA%

文件排查各个盘下的temp(tmp)相关目录下查看有无异常文件：Windows产生的临时文件

文件排查

各个盘下的temp(tmp)相关目录下查看有无异常文件：Windo