共计 760 个字符,预计需要花费 2 分钟才能阅读完成。
应急响应的整体思路,就是下层有指导性准则和思维,上层有技能、知识点与工具,独特推动和保障应急响应流程的全生命周期。
准则和指导性思路
3W1H 准则:3W 即 Who、What、Why,1H 即 How,做应急响应要带着疑难来做事,肯定要收集分明这些信息。网络拓扑是怎么样的?需要是啥?产生了什么事?你能做什么?用户用了什么产品?产品版本多少?病毒库版本多少?多少主机中了?主机是一般 PC 还是服务器?服务器是做什么的?……信息收集越多,对应急响应越无利。易失性准则:做应急响应免不了要做信息收集和取证的,但这里是有肯定的先后顺序的,即最容易失落的据,应该最先收集,其它的顺次类推。因素准则:做应急响应,次要是抓要害证据,即因素,这些因素包含样本、流量、日志、过程及模块、内存、启动项。避害准则:做应急响应,要做到趋利避害,不能问题还没有解决,反而引入了新的问题。譬如,本人应用的工具被感化而不知情;给用户应用不失当的工具或软件造成客户主机呈现问题;给他人发样本,不加密,不压缩,导致他人正点中毒,最极其的场景就是给他人发勒索样本不加密压缩,导致他人正点中毒。技能、知识点与工具
应急工具集:应急响应必要的一套工具汇合,可帮助应急人员做剖析,提高效率。日志剖析:能对日志进行剖析,包含但不限于系统日志(Windows/Linux 等)、利用日志、安全设备日志(防火墙、防病毒、态势感知等)。威逼情报:安全事件可能不是孤立的,平安站点或搜寻站点能找到安全事件的关联信息。漏洞补丁常识:晓得破绽与补丁的关系,它们在应急响应中的角色,理解常见破绽及补丁。常见病毒及分类:晓得病毒大抵的分类以及常见的病毒。样本剖析:至多能对样本进行一次简略动静的剖析。操作系统常识:至多对 Windows 零碎和 Linux 零碎的有肯定的常识储备,晓得其根底的工作原理。
正文完
