| name | incident-response |
| description | 安全事件响应的专业技能和方法论 |
| version | 1.0.0 |
安全事件响应
概述
安全事件响应是处理安全事件的关键流程。本技能提供安全事件响应的方法、工具和最佳实践。
响应流程
1. 准备阶段
准备工作:
- 建立响应团队
- 制定响应计划
- 准备工具和资源
- 建立通信渠道
2. 识别阶段
识别事件:
3. 遏制阶段
遏制措施:
4. 清除阶段
清除威胁:
5. 恢复阶段
恢复系统:
6. 总结阶段
总结经验:
工具使用
日志分析
使用Splunk:
index=security event_type="failed_login"
index=security | stats count by src_ip
index=security | timechart count by event_type
使用ELK:
GET /logs/_search
{
"query": {
"match": {
"event_type": "malware"
}
}
}
取证工具
使用Volatility:
volatility -f memory.dump imageinfo
volatility -f memory.dump --profile=Win7SP1x64 pslist
volatility -f memory.dump --profile=Win7SP1x64 memdump -p 1234 -D output/
使用Autopsy:
网络分析
使用Wireshark:
wireshark -i eth0
wireshark -r capture.pcap
使用tcpdump:
tcpdump -i eth0 -w capture.pcap
tcpdump -r capture.pcap -A
事件类型
恶意软件
响应步骤:
- 隔离受影响系统
- 收集样本
- 分析恶意软件
- 清除威胁
- 修复漏洞
工具:
- VirusTotal
- Cuckoo Sandbox
- YARA规则
数据泄露
响应步骤:
- 确认泄露范围
- 遏制泄露
- 评估影响
- 通知相关方
- 修复漏洞
检查项目:
拒绝服务
响应步骤:
- 确认攻击类型
- 启用防护措施
- 过滤恶意流量
- 监控系统状态
- 恢复正常服务
防护措施:
未授权访问
响应步骤:
- 禁用受影响账户
- 重置凭证
- 检查访问日志
- 评估数据访问
- 修复漏洞
检查项目:
响应清单
准备阶段
识别阶段
遏制阶段
清除阶段
恢复阶段
总结阶段
最佳实践
1. 准备
2. 响应
3. 沟通
4. 改进
注意事项