应急响应-应急响应流程(各个阶段与实战)

2024-09-01 22:12

本文主要是介绍应急响应-应急响应流程(各个阶段与实战),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

  • 前言
  • 准备阶段
  • 检测阶段
  • 研判分析
  • 定损止损(对应遏制、根除阶段)
    • 定损
    • 止损
  • 攻击还原
  • 清理恢复
  • 总结复盘
  • 实战讲解
    • 进程
      • ssh暴力破解
      • 命令混淆
      • 派生恶意命令
      • 命令注入
    • 网络
    • 文件
      • webshell
      • C2脚本
      • 木马
  • 参考


前言

做入侵检测时会有一些攻击告警,需要做应急响应。本文从流程规范角度来浅谈一下应急响应的步骤,介绍应急需要准备哪些知识,以及常见攻击流程示例。后面几章留坑,持续更新中…

应急响应PDCERF模型:
来源见参考

  • P(PreParation准备)
  • D(Detection检测)
  • C(Containment遏制)
  • E(Eradication根除)
    R(Recovery恢复)
    F(follow-up跟踪总结)

根据PDCERF模型进行优化,分为以下几个阶段。

准备阶段

此阶段预防为主,搜集威胁情报,定期漏洞扫描,内部安全宣讲等。作为应急响应人员,需要
收集日志,熟悉操作系统下的应急相关命令,熟悉应急止损工具。

应急响应-主机安全之系统及进程排查相关命令(Linux操作系统-初级篇)
应急响应-主机安全之文件相关命令(Linux操作系统)
应急响应-主机安全之网络相关命令(Linux操作系统)

检测阶段

此阶段进行入侵检测,通过安全设备(IDS、NIDS等)对攻击行为进行告警。
主机安全-开源HIDS字节跳动Elkeid安装使用

研判分析

收到告警时需要进行研判分析,判断是否为真实攻击事件。主要从主机、网络、文件三个方面来判断。
容易判断时记录结论,不易判断时询问机器负责人,避免误判。

定损止损(对应遏制、根除阶段)

定损

时间范围
需要确定攻击者攻击开始时间和结束时间。

资产范围
需要确定影响资产的范围,例如几台主机,在什么网络环境。

止损

止损手段封禁ip,踢出账号,网络隔离,重装操作系统等

攻击还原

此阶段需要找到完整的攻击路径,在测试环境复现攻击。对检测阶段也是一种反馈,协助在攻击路径中的关键点添加检测或拦截。

清理恢复

清理攻击痕迹,例如恶意进程、恶意文件。恢复是止损时的逆操作,如做了网络隔离,需要恢复。

总结复盘

总结复盘时需要包含以下信息:

  • 时间范围
  • 资产范围
  • 攻击路径
  • 攻击手法
  • 止损情况
  • 恢复情况
  • 待办

实战讲解

进程

ssh暴力破解

应急响应-爆破漏洞应急响应流程(以SSH爆破为例)

命令混淆

派生恶意命令

命令注入

网络

文件

webshell

C2脚本

木马

参考

《网络安全应急响应技术实战指南》-奇安信安服团队
gitbook-应急响应实战笔记
github-应急响应指南
github-Windows 应急响应手册

PDCERF

这篇关于应急响应-应急响应流程(各个阶段与实战)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1128184

相关文章

网页解析 lxml 库--实战

lxml库使用流程 lxml 是 Python 的第三方解析库,完全使用 Python 语言编写,它对 XPath表达式提供了良好的支 持,因此能够了高效地解析 HTML/XML 文档。本节讲解如何通过 lxml 库解析 HTML 文档。 pip install lxml lxm| 库提供了一个 etree 模块,该模块专门用来解析 HTML/XML 文档,下面来介绍一下 lxml 库

Security OAuth2 单点登录流程

单点登录(英语:Single sign-on,缩写为 SSO),又译为单一签入,一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。当拥有这项属性时,当用户登录时,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。相同的,单一注销(single sign-off)就是指

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

C#实战|大乐透选号器[6]:实现实时显示已选择的红蓝球数量

哈喽,你好啊,我是雷工。 关于大乐透选号器在前面已经记录了5篇笔记,这是第6篇; 接下来实现实时显示当前选中红球数量,蓝球数量; 以下为练习笔记。 01 效果演示 当选择和取消选择红球或蓝球时,在对应的位置显示实时已选择的红球、蓝球的数量; 02 标签名称 分别设置Label标签名称为:lblRedCount、lblBlueCount

滚雪球学Java(87):Java事务处理:JDBC的ACID属性与实战技巧!真有两下子!

咦咦咦,各位小可爱,我是你们的好伙伴——bug菌,今天又来给大家普及Java SE啦,别躲起来啊,听我讲干货还不快点赞,赞多了我就有动力讲得更嗨啦!所以呀,养成先点赞后阅读的好习惯,别被干货淹没了哦~ 🏆本文收录于「滚雪球学Java」专栏,专业攻坚指数级提升,助你一臂之力,带你早日登顶🚀,欢迎大家关注&&收藏!持续更新中,up!up!up!! 环境说明:Windows 10

深入理解RxJava:响应式编程的现代方式

在当今的软件开发世界中,异步编程和事件驱动的架构变得越来越重要。RxJava,作为响应式编程(Reactive Programming)的一个流行库,为Java和Android开发者提供了一种强大的方式来处理异步任务和事件流。本文将深入探讨RxJava的核心概念、优势以及如何在实际项目中应用它。 文章目录 💯 什么是RxJava?💯 响应式编程的优势💯 RxJava的核心概念

kubelet组件的启动流程源码分析

概述 摘要: 本文将总结kubelet的作用以及原理,在有一定基础认识的前提下,通过阅读kubelet源码,对kubelet组件的启动流程进行分析。 正文 kubelet的作用 这里对kubelet的作用做一个简单总结。 节点管理 节点的注册 节点状态更新 容器管理(pod生命周期管理) 监听apiserver的容器事件 容器的创建、删除(CRI) 容器的网络的创建与删除

springboot实战学习(1)(开发模式与环境)

目录 一、实战学习的引言 (1)前后端的大致学习模块 (2)后端 (3)前端 二、开发模式 一、实战学习的引言 (1)前后端的大致学习模块 (2)后端 Validation:做参数校验Mybatis:做数据库的操作Redis:做缓存Junit:单元测试项目部署:springboot项目部署相关的知识 (3)前端 Vite:Vue项目的脚手架Router:路由Pina:状态管理Eleme

简单的角色响应鼠标而移动

actor类 //处理移动距离,核心是找到角色坐标在世界坐标的向量的投影(x,y,z),然后在世界坐标中合成,此CC是在地面行走,所以Y轴投影始终置为0; using UnityEngine; using System.Collections; public class actor : MonoBehaviour { public float speed=0.1f; CharacterCo