HW

威胁发现

1设备告警 :阻断类设备(如:防火墙、WAF、IPS等)

可判断未攻击成功的行为,对于分析威胁意义不大

关注:

流量检测设备(如IDS、全流量检测、流量存储设备)

EDR设备,监控终端

2.系统反常现象

不正常卡顿、CPU或内存占用突然升高、反常的网络请求、批量访问特定端口

3.外部情报

整理内部知识库

研究报告、漏洞详情

freebuf、先知社区

KASPERSKY

FIREGYE

关于威胁关注点

攻击源:攻击的发起方、攻击源地址不一定就是攻击者的地址(可能是跳板机地址,内网攻击)

受害者:可能或已经被攻击者攻陷的主机或系统

将受害者与现有网络隔离

完成取证前不要关机

需要切断隔离,按照流程固定证据,进行处置

时间戳:

用于分析攻击事件发生的先后顺序,发现第一台攻陷的主机

事件表象:

提供调查大致方向