一、应急响应的基本流程

1、收集信息

收集客户信息和中毒主机信息，包括样本

2、判断类型

是否是安全事件，是何种安全事件（比如勒索、挖矿、DOS等）

3、深入分析

日志分析、进程分析、启动项分析、样本分析

4、清理处置

直接杀掉进程，删除文件，打补丁或修复文件

5、产出报告

整理并输出完整的安全事件报告

二、Windows应急响应时排查分析的相关细节

1、检查服务器是否有弱口令（比如空口令或密码复杂度不够）

2、检查高危端口是否对外开放（比如SSH服务22端口）

3、利用D顿等工具检测隐藏账号

4、结合日志分析eventvwr.msc，查看管理员登陆时间，相关事件是否有异常

三、系统加固

1、Windows

比如设置登陆时不显示上次登录的用户名，防止弱口令爆破

2、Linux

禁用root之外的超级用户：password -I <用户名> 来锁定用户（-u解锁）

还可以限制su命令切换到root用户或者限制提权的范围

应急响应与系统加固（护网蓝初面试干货）相关推荐

护网蓝队面试常见问题（百题斩第一弹）
Windows 入侵排查思路? 收集信息:收集与系统安全相关的信息,包括日志文件.进程列表.网络连接.系统配置等. 分析信息:对收集到的信息进行分析,确定异常行为和潜在威胁. 确认威胁:确认系统存在威 ...
应急响应之系统排查方法
应急响应之系统排查方法 1.系统基本信息 Windows系统排查 Linux系统排查 2.用户信息 Windows用户排查 Linux用户排查 3.启动项 Windows启动项排查 Linux启动项排 ...
应急响应-----Windows系统排查（学习笔记）
** 1.windows应急响应事件分类 ** Windows 系统的应急事件,按照处理的方式,可分为下面几种类别: 病毒.木马.蠕虫事件 Web 服务器入侵事件或第三方服务入侵事件系统入侵事件,如 ...
linux 无响应_系统加固之Linux安全加固
Linux系统基本操作文件结构图及关键文件功能介绍 Linux文件结构 Linux文件结构图二级目录目录功能 /bin 放置的是在单人维护模式下能被操作的指令,在/bin底下的指令可以被roo ...
2023护网面试题200道（附答案）
最近日入1000×+的护网行动已经开始摇人了, 不少大学生在后台私信我如何参加护网.面试问些什么.有没有护网内推作为一个负责任的博主,收到大家反馈的我,连夜发动钞能力,收集整理了一套护网蓝初面试文档 ...
应急响应典型案例分析
声明本文是学习奇安信 2022年上半年网络安全应急响应分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们应急响应典型案例分析 2022年上半年奇安信安全服务团队共接到 ...
网络设备应急响应指南
文章目录 0x01 网络设备应急响应 0x02 检测分析一.建立一个路由器连接二.记录系统时间三.确定已登录的人四.确定路由器的正常运行时间五.确定监听套接字六.存储路由器配置七.检查路 ...
网络安全中护网面试常见问题
面试官基本都会问什么一.护网经验和面试经验,你能介绍下学生最关心的问题么?就是护网面试都问什么问题? 护网面试有很多步骤 1.投递简历-安全服务公司HR先筛选一下简历,交给技术负责人面试一下,推荐给 ...
it系统应急响应流程图_智能自动化的内网应用系统应急响应处置的方法与流程...
本发明涉及计算机数据安全技术领域,特别是涉及一种智能自动化的内网应用系统应急响应处置的方法. 背景技术: 随着电网企业信息化建设的快速发展,电网根据业务要求,部署和实施了多套应用系统,同时也需要大量的 ...

应急响应与系统加固（护网蓝初面试干货）