前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布

hw

作者头像
tea9
发布2023-03-07 20:42:28
2350
发布2023-03-07 20:42:28
举报
文章被收录于专栏:tea9的博客tea9的博客

HW

威胁发现

1设备告警 :阻断类设备(如:防火墙、WAF、IPS等)

可判断未攻击成功的行为,对于分析威胁意义不大

关注:

流量检测设备(如IDS、全流量检测、流量存储设备)

EDR设备,监控终端

2.系统反常现象

不正常卡顿、CPU或内存占用突然升高、反常的网络请求、批量访问特定端口

3.外部情报

整理内部知识库

研究报告、漏洞详情

freebuf、先知社区

KASPERSKY

FIREGYE

关于威胁关注点

攻击源:攻击的发起方、攻击源地址不一定就是攻击者的地址(可能是跳板机地址,内网攻击)

受害者:可能或已经被攻击者攻陷的主机或系统

将受害者与现有网络隔离

完成取证前不要关机

需要切断隔离,按照流程固定证据,进行处置

时间戳:

用于分析攻击事件发生的先后顺序,发现第一台攻陷的主机

事件表象:

提供调查大致方向

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • HW
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档