<>一、应急响应概念
一个组织为应对各种意外事件的发生所做的准备,以及在时间发生之后所采取的措施,以减少突发事件造成的损失。
<>二、应急响应流程
PDCERF方法:
准备阶段(预防)
检测阶段(检测已发生或者正在发生的事件以及原因)
抑制阶段(限制破坏的范围,同时降低潜在的损失)
根除阶段(通过事件分析找出根源并彻底根除,以防再次发生)
恢复阶段(把破坏的信息彻底还原到正常运作状态)
总结阶段(回顾应急响应事件的过程,分析总结,以防入侵的再次发生)
<>三、网络安全应急响应基础技能
<>1、系统排查
1)查看系统工具信息,正在运行任务以及启动程序等
具体操作:在命令行输入msinfo32
2)查看用户信息
(1)命令行:net user(无法查看隐藏用户)
(2)图形界面方法:可查看到隐藏用户(以$结尾)
3)查看启动项
也可以通过注册表查看。
4)任务计划
(1)
(2)查看当前系统中所有任务计划的信息,包括任务计划的路径、名称、状态等详细信息。
5)其他
防火墙入站规则和出站规则。
<>2、进程排查
1)通过任务管理器查看可疑程序
2)输入命令tasklist获取进程
<>3、服务排查
win+R,输入services.msc查看服务项。
注意:服务名称和描述等有可能会被攻击者修改。
<>4、文件痕迹排查
1)敏感目录
(1)各个盘下的temp(tmp)目录
(2)排查浏览器的历史记录、下载文件和cookie信息,查看是否有相关的恶意痕迹。
(3)查看用户Recent文件(最近运行文件)
(4)预读取文件夹查看(Prefetch)
2)时间点查找
确定事件发生的时间点,排查时间点前、后的文件变动情况,缩小排查的范围。
(1)列出攻击日期内新增的文件
* 通过forfiles命令列出
* 根据文件列表的修改日期进行排序,查找可疑文件
* 对文件的创建时间、修改时间、访问时间进行排查。因为攻击者可能通过“菜刀类”工具改变修改时间。所以当创建时间和修改时间出现明显的逻辑问题,则需要重点排查。
3)webshell(网站入侵的脚本工具)
可使用D盾,通过扫描文件,直接发现可疑文件。
<>5、日志分析
1)日志文件(在事件查看器中查看)
系统日志
:系统中各种驱动程序在运行中出现的重大问题、操作系统的多种组件在运行中出现的重大问题及应用软件在多种组件在运行中出现的重大问题等。这些重大问题主要包括重要
数据的丢失、错误,以及系统产生的崩溃行为。
安全性日志:记录了各种与安全相关的事件,如各种登录与退出系统的成功或不成功的信息,如对系统文件的创建、删除、更改等操作。
应用程序日志:记录各种应用程序所产生的各类文件。
其他日志:powershell日志
2)日志常用事件ID
如
4624:成功登录
4625:失败登录
登录类型一般为网络登录(networkcleartext)。
3)日志分析
(1)通过内置的筛选器进行分析
(2)通过powershell对日志进行分析(常用)
以上为获取登录失败的所有日志信息。
(3)通过相关的日志工具进行分析查询
* Event Log Explorer,可检测系统安全,用于查看、监视和分析事件记录。
* Log Parser
除了能对Windows日志和Linux日志进行分析,还能对web日志、中间件日志、数据库日志、ftp日志、WebLogic日志等进行分析。
<>6、内存分析
1)基于虚拟化快照的内存获取
通过VM等虚拟化的软件实现。VM在生成快照时会自动生成虚拟内存文件。
2)内存分析
(1)redline
获取内存文件后,可使用redline进行导入分析,其主要收集在主机上运行的有关进程信息、内存中的驱动程序以及其他数据如元数据、注册表数据、任务、服务等。
(2)volatility内存取证工具(kali自带)
<>7、流量分析
可使用wireshark(网络封包分析软件),具体地可以自己找教程学习。
<>8、威胁情报
威胁情报是指针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标,所收集的用于评估和应用的数据集。很多时候,结合威胁情报可以从多维度快速地了解攻击者的信息。