应急响应与系统加固(护网蓝初面试干货)

目录

一、应急响应的基本流程

1、收集信息

2、判断类型

3、深入分析

4、清理处置

5、产出报告

二、Windows应急响应时排查分析的相关细节

三、系统加固


一、应急响应的基本流程

1、收集信息

收集客户信息和中毒主机信息,包括样本

2、判断类型

是否是安全事件,是何种安全事件(比如勒索、挖矿、DOS等)

3、深入分析

日志分析、进程分析、启动项分析、样本分析

4、清理处置

直接杀掉进程,删除文件,打补丁或修复文件

5、产出报告

整理并输出完整的安全事件报告

二、Windows应急响应时排查分析的相关细节

1、检查服务器是否有弱口令(比如空口令或密码复杂度不够)

2、检查高危端口是否对外开放(比如SSH服务22端口)

3、利用D顿等工具检测隐藏账号

4、结合日志分析eventvwr.msc,查看管理员登陆时间,相关事件是否有异常

三、系统加固

1、Windows

比如设置登陆时不显示上次登录的用户名,防止弱口令爆破

2、Linux

禁用root之外的超级用户:password -I <用户名> 来锁定用户(-u解锁)

还可以限制su命令切换到root用户或者限制提权的范围

你可能感兴趣的:(HVV,应急响应,系统加固,web,安全)