文章前言在对日志进行分析时我们偶尔会遇到客户直接将日志文件写在同一个文件中的情况,随着时间的推移后续文件会变得越来越大,导致出现攻击事件时无法正常使用文本文件或者其他应用软件查看文本文件进行日志分析,...
必备手册 | 应急响应与溯源导图
最后来张全的如果看不清没关系,后台回复“20230808”获取原件下载链接免责声明由于传播、利用本公众号渗透测试网络安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透...
【Part I】Windows事件分析宝典
Windows日志分析(上)前排提示: 使用手机预览的时候, 横屏预览更佳~在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源、用户名、计算机、...
应急响应如何取黑客已删除的文件内容
应急响应过程中,经常会遇到黑客删文件的情况。比如上面这种黑客执行 echo > /root/.bash_history 的方式来删除文件,如果没有事先部署主机安全agent做...
【A9】初探应急响应
“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”...
演习前红队暗泉涌动投毒
本章为该系列的第六篇,进入了演习前的厉兵秣马阶段,全部人员都在冲刺着做最后的准备。我们开始组织相关方进行应急响应演练、也在应急响应中心排班布阵,同时发现红队也在努力。接下来将介绍某年的攻防演习前夕,监...
网络安全应急响应服务方案怎么写?包含哪些阶段?一文带你了解!
一、服务范围及流程1.1 服务范围1.2 服务流程及内容二、准备阶段2.1 负责人准备内容2.2 技术人员准备内容2.3市场人员准备内容三、检测阶段3.1 实施小组人员的确定3...
记一次虚惊一场的应急响应
一个"风和日丽"的晚上,凌晨躺床上在刷抖音,突然来了一条短信让我睡意全无,我的 vps 被异地登陆了(国外ip)??? oVO?感觉是误报。吓得我赶紧起来排查一下(其实我也不咋会应急,所以索性用一下现...
域环境应急响应之特权帐户密码重置
概述在针对微软的活动目录域环境进行应急响应时,如果我们确认攻击者已经获得了域管理员权限,那我们首要的工作之一就是对特权帐户的密码进行重置,包括所有域管理员以及krbtgt帐户。因为在攻击者获得域管理员...
【2023HW】-应急响应流程及对常见的病毒应急方法、Windows安全事件查看及安全事件id汇总
目录 应急响应流程:1.响应、保护:2.阻断:3.分析排查:(1)痕迹分析:(2)行为分析:(3)对已知漏洞排查(4)查看系统基本信息:(5)异常连接排查:(6)异常进程排查:(7)异常账号排查:(8...
产品安全事件定级评分方法
本章为该系列的第五篇,主要介绍产品安全事件定级及方法。从实际需求来看,在应急响应时仅有流程和SOP还不够,缺少一个维度对SOP中的动作进行分级分类,故诞生了事件定级方法。不同级别的事件,映射了不同的执...
应急响应-记一次linux入侵排查
0X01.前言 记录一下之前给一个客户做应急响应的过程,客户说他们为了一个重保项目借了一台全流量探针系统,装上之后监测到有一台服务器处于失陷状态,让我来排查下是怎...
39