hw

HW

威胁发现

1设备告警 ：阻断类设备（如：防火墙、WAF、IPS等）

可判断未攻击成功的行为，对于分析威胁意义不大

关注：

流量检测设备（如IDS、全流量检测、流量存储设备）

EDR设备，监控终端

2.系统反常现象

不正常卡顿、CPU或内存占用突然升高、反常的网络请求、批量访问特定端口

3.外部情报

整理内部知识库

研究报告、漏洞详情

freebuf、先知社区

KASPERSKY

FIREGYE

关于威胁关注点

攻击源：攻击的发起方、攻击源地址不一定就是攻击者的地址（可能是跳板机地址，内网攻击）

受害者：可能或已经被攻击者攻陷的主机或系统

将受害者与现有网络隔离

完成取证前不要关机

需要切断隔离，按照流程固定证据，进行处置

时间戳：

用于分析攻击事件发生的先后顺序，发现第一台攻陷的主机

事件表象：

提供调查大致方向