【安全服务】应急响应1:流程、排查与分析 |
您所在的位置:网站首页 › 应急演练包括几个阶段 › 【安全服务】应急响应1:流程、排查与分析 |
【安全服务】应急响应1:流程、排查与分析
|
目录 一、应急响应流程 1 准备阶段 2 检测阶段 3 抑制阶段 4 根除阶段 5 恢复阶段 6 总结阶段 现场处置流程 二、系统排查 1、系统信息 2、用户信息 3 启动项 4 任务计划 5 其他:Windows防火墙规则 三、进程排查 1 windows 1.1 任务管理器 1.2 cmd > tasklist 1.3 查看正在进行网络连接的进程cmd > netstat -ano | findstr 'ESTABLISHED' 2 Linux 2.1 netstat -ap 2.2 特定pid对应的执行程序:ls -alt /proc/PID 2.3查看进程打开的文件 lsof -p PID 2.4 kill -9 PID 杀死进程 2.5 查看隐藏进程 2.6 查看占用资源较多的进程top 四、服务排查 1 windows服务 2 Linux 服务 五、文件痕迹排查 1 windows 1.1敏感目录 1.2时间点查找 1.3 webshell文件 2 linux 2.1敏感目录 2.2时间点查找 六、日志分析 1 windows日志 1.1 系统日志 1.2安全性日志 1.3应用程序日志 1.4 应急响应中常见的事件id 1.5日志分析 2 Linux日志 1 查看日志 2 日志分析 3 其他日志 七、内存分析 1 内存的获取 1.1 基于内核模式程序的内存获取 1.2 基于系统崩溃转储的内存获取 1.3 基于虚拟机快照 2 内存的分析 2.1 Redline 2.2 Volatility 八、流量分析 筛选器 1 特定目的地址:ip.addr==ip 2特定源地址:ip.src==ip 3特定协议:直接输入http、http2、arp(小写)等 4特定端口:tcp.port==port / udp.port==port 5关键字:tcp contains 关键字 九、威胁情报 威胁情报金字塔 常用的威胁情报库/社区 一、应急响应流程应急响应分为六个阶段,分别是 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 这种划分方法也称PDCERF方法 实际上,应急响应并不是严格遵从这个方法的,大多数情况都要具体问题具体分析 1 准备阶段以预防为主,主要是要进行风险评估等工作,包括建立信息安全管理体系、部署安全设备和安装防护软件、建立应急响应和演练制度等等。 2 检测阶段这个阶段是在安全事件发生后的,主要是判断安全事件是否还在发生,安全事件产生的原因,对业务的危害程度以及预计如何处理。 常见的安全事件有: 中病毒(勒索、挖矿等) 信息泄露(账号信息、敏感资料) 业务服务被破坏(网页篡改、破坏,数据被删等) 系统崩溃、网络瘫痪(ddos、批量请求) 3 抑制阶段抑制阶段主要是尽可能降低安全事件带来的损失,限制安全事件发生的范围和时长 一些抑制手段有: 断开网络 关闭受影响的系统 暂停受影响账号的使用 修改ACL 关闭未受到影响的其他业务 蜜罐 4 根除阶段这个阶段是找出安全事件的根源,并完成清除掉隐患,避免安全事件二次发生, 5 恢复阶段这个阶段是系统恢复到安全事件发生前的正常运行状态,并把备份数据恢复过来 6 总结阶段这个阶段是总结这个安全事件的发生过程,并以此对涉事单位的安全技术配置、安全管理制度等进行分析评审,并以此为基础确定是否还会有新的风险,最后输出整改建议,包括安全设备采购、安全管理制度修订等 这个阶段可以输出 应急响应报告,包括安全事件发生流程、造成的危害、处置的方法 企业问题清单 现场处置流程在现场中,首先通过访谈和现场确认,大概确认事件类型,再以此作针对性访谈和检查,然后制定应急方案,再逐步排查系统、进程、服务、文件痕迹、日志等 二、系统排查 1、系统信息 1.1 windows系统信息工具:msinfo32.exe 命令行msinfo即可打开
展开软件环境:
此工具可进行以下信息的排查 系统驱动(描述、文件、开启状态等) 正在运行的任务(名称、路径、进程ID) 加载的模块 服务(名称、路径、状态等) 启动程序(命令、用户名、位置等)查看系统信息 cmd > systeminfo
OS信息 uname -a
OS版本信息 :cat proc/version
已载入模块信息:lsmod CPU信息:lscpu
cmd > net user cmd > net user username
上面的方法查看不了隐藏账户,解决:计算机管理—本地用户和组 注册表-HKEY_LOCAL_MACHINE-SAM-SAM-Domains-Account-Users-Names
这种方法可排查windows是否利用隐藏账户进行提取(导出F值查看是否有一样的) 2.2 linux查看所有用户信息:cat etc/passwd
用户名:x(代表密码加密):用户ID:用户组:注释:用户主目录:默认登录shell bin/bash 可登录 sbin/nologin 不可登录 查看超级权限账户:awk-F: '{if($3==0)print $1}'/etc/passwd -F fs 指定描绘一行中数据字段的文件分隔符 默认为空格,这里为: 以:分隔字符,分割所有行,形成二维的字符矩阵,如果矩阵中第三列的值为0(即超级权限账户),打印出第一列字符(即账户名) 查看可登录账户:cat etc/passwd | grep 'bin/bash'
查看错误的用户登录信息:lastb
查看所有用户最后一次登录信息:lastlog
查看用户最近登录信息:/$ last
数据源: /var/log/wtmp wtmp存储登录成功的信息 /var/log/btmp btmp存储登录失败的信息 /var/log/utmp)utmp存储当前正在登录的信息 3 启动项 3.1 windows系统任务管理器 - 启动项
注册表
rc.local 启动加载文件 Linux中有两个,分别在etc/re.local和etc/init.d/rc.local,修改这两个文件可修改启动项
查看init.d下的文件 攻击者可利用任务计划实现病毒的长期驻留 4.1 windows |
【本文地址】
今日新闻 |
推荐新闻 |