在现场排查处置过程中,先要确定事件类型与时间范围,针对不同的事件类型,乙方提醒相关人员或甲方直接通知领导启用对应等级的相关应急预案,"内部人员"检查建议开执法记录仪和封条(别问为什么。。。)。然后对事件相关人员进行访谈,了解下述表格内的问题情况。
明确问题内容 |
事件初次发生的事件与事件发现的时间?明确时间 |
事件中受影响主机范围?明确范围 |
事件中有什么特殊现象?明确问题事件类型 |
系统与网络的当前状态?是否进行隔离 |
做过什么操作、处理或事后应急行为? |
该现象可能产生的原因?排除误报的可能性 |
攻击者是否留下痕迹?是否发现后门文件 |
网络环境架构?是否部署安全设备/产品?明确整体网络安全拓扑图 |
有无相关流量记录?时间范围内的流量是否可回溯? |
是否提供账号密码可登录受影响主机? |
是否存在过某些漏洞/弱口令/数据库/中间件/高危端口?历史漏洞情况 |
随后对受影响主机进行排查,从系统排查、端口排查、进程排查、服务排查、文件排查、日志分析、流量分析等方面进行,整合相关信息,进行关联推理。根据排查结果,采取对应的处置措施。
实战情况下,面对安全事件应急处置溯源分析等工作思路如下图可供参考:
