网络安全应急响应与处置手册.docxVIP

网络安全应急响应与处置手册

第1章事件发现与初步研判

1.1告警信息识别与优先级评估

工程师需打开网络监控平台（如SIEM或NDR系统）的实时告警列表，优先筛选出包含“异常流量突增”、“未知端口连接”或“高频DNS查询”等关键词的告警。例如，当系统检测到某子网在10分钟内连接了500个不同IP的未知端口，且流量速率超过100Mbps时，系统会自动触发高优先级标记，提示值班人员立即介入。对于普通误报或低频告警，应结合告警发生的时间戳与历史基线数据进行对比分析。若某次告警发生在业务低峰期且源IP为内部办公网段，则可能为误报；若源IP为外部且伴随异常行为，则需进一步核实。

利用“关联分析”功能，将分散在不同日志系统中的告警信息进行聚合。例如，将防火墙的阻断记录、WAF的拦截日志和入侵检测系统的告警记录进行关联，若这三类日志在同一时间段内出现，则事件可信度显著提升。评估告警的“攻击面”和“影响范围”。若告警涉及核心数据库或金融交易系统，即使告警数量不多，其优先级也高于涉及普通办公终端的告警。需根据资产价值（如服务器价值、数据敏感性）对告警进行加权打分。检查告警的上下文信息是否完整，包括源IP、目的IP、协议类型、端口号、数据包大小及时间间隔。若缺少关键上下文（如源IP为内网且无外部访问意图），则需人工复核，防止漏报。

执行