应急响应基础

什么是应急响应

应急响应是指在遇到突发事件后所采取的措施和行动。突发事件是指影响一个系统正常工作的安全类或者非安全类的情况。

应急响应的目标

采取紧急措施和行动，恢复业务到正常的服务状态。
调查安全事件发生原因，避免同类安全事件再次发生。
在需要司法机关介入时，需要提供法律认可的数字证据。
还原攻击链。

应急响应技术人员基本流程

3W1H原则。
who？what？why？how？
收集客户现场的网络拓扑信息
了解发生了什么事情，客户需求是什么？多少主机中招？
收集客户现场使用的安全产品类型以及对应的版本号是多少？
收集客户现场使用的病毒库版本？
收集系统主机信息，补丁信息。
收集事件发生的时间点。
收集主机的用户信息。

判断安全事件的类型（勒索、挖矿、断网、Dos等等）

日志分析、进程分析、启动项分析、样本分析

直接杀掉进程
删除文件
打补丁
修复文件

整理并输出完整的应急响应报告（还原攻击流程、输出安全建议）

日志分析

常见的日志类型

• • Web访问日志

• • Mysql日志

• • 操作系统日志

• • 其他组件日志

1. 1. 信息收集 确定影响面 确定时间节点 确定主机情况（网络拓扑、系统信息、账号信息等）

2. 2. 日志分析 操作系统日志分析 Web访问日志分析 其他组件日志分析

3. 3. 日志分析整理 还原攻击流程 确定受影响的主机 溯源攻击者信息

1. 1. Windows日志分类

2. 2. Windows日志保存位置

3. 3. 如何查看Windows日志 在Windows事件查看器中查看日志(Win+R–>eventvwr.msc) win+s 检索事件查看器

4. 4. 如何清除响应的Windows日志 wevtutil cl “logname”

5. 5. Windows日志审计 根据事件ID在事件查看器里面检索 利用审计工具审计

6. 6. Windows日志审计工具 Log Parser Log Parser Studiio

1. 1. 历史命令 /home/acount/.bash_history /root/.bash_history history -c(该命令只能清除本次登录用户输入的命令，不会对.bash_history文件中的历史命令进行操作)

2. 2. 用户登录信息 /var/log/lastlog(每个用户最后的登录信息，可以使用lastlog查看) /var/log/wtmp(永久记录每个用户登录、注销以及系统的启动、宕机事件，可以使用last -f /var/log/wtmp命令查看) /var/run/utmp(记录当前登录的每个用户的信息，可以使用last -f /var/log/utmp命令查看) /var/log/btmp(记录所有用户登录失败的信息，可以使用last -f /var/log/btmp 或者 lastb查看)

3. 3. 登录认证日志 /var/log/secure 文件记录登录信息，包括验证和授权方面的信息，sshd会将 所有信息都记录其中，包括失败的信息。ubutu && debain /var/log/auth.log文件 redhat && CentOS /var/log/secure文件

4. 4. 其他日志 crontab日志 /var/log/cron mail日志 /var/log/mail Mysql日志 /var/log/mysqld.log yum安装日志 /var/log/yum.log alert information日志（系统出问题的日志，往往这个日志文件更重要) /var/log/syslog 引导加载日志 /var/log/boot.log 系统日志（各种应用程序都可以往里面写日志） /var/log/messages

一个专注于网络空间安全情报&攻防的圈子

原文始发于微信公众号（威胁情报捕获与分析）：应急响应基础