这个时候，最坐不住的是领导，领导借助自己的情报优势，提供了一些线索，组织大家展开排查。这时一线监控人员对历史告警进行逐项排查。看了一圈后大家心都凉了，因为每一条告警都完成了闭环处置，没有发现异常，难道说遇到了猪猪侠所说的“无感出局”？

攻击队采用了多种绕过方式组合利用，导致全程一条告警都没有，说实话，“让防守方无感出局”以前我是不相信的，现在真是刷新了我的认知。

二线研判完成定性之后，还要进一步分析攻击者到底做了什么，看看我们的问题到底在哪，有什么损失。攻击流量中有很多混淆，分析起来非常困难，于是我们转变思路，用流量日志+应用日志进行进一步分析。应用日志量也不小，不过已经掌握了payload的特点，可以通过编写脚本对日志文件进行批量处理。说干就干，这时已经凌晨2点了，线索就是兴奋剂，大家颇有不搞清楚不睡觉的状态，脚本调试完毕后，在几十G的日志中提炼出攻击数据，去除了垃圾字段，最后攻击payload终于水落石出。

在赛场上遇到这种高水平对抗是一件幸运的事，虽然应急的过程很痛苦，但感觉酣畅淋漓，人生能有几回搏，这不就算一次。

--------- END ---------

【红蓝/演练】-事前准备(8)之蜜罐建设

【红蓝/演练】-事前准备(9)之工作推进

【红蓝/演练】-事中迎战(1)之人员组织

【红蓝/演练】-事中迎战(2)之安全事件监控与处置

【红蓝/演练】-事中迎战(3)之情报处置

【红蓝/演练】-事中迎战(4)之互联网蜜罐运营

【红蓝/演练】-事中迎战(5)之作文大赛