HW护网告警处置SOP_网络安全告警处置

《网络安全自学教程》

以某「世界级重保项目」的SOP为基础，做了通用化改编，为护网的小伙伴们提供一些「告警处置」和「应急」思路。

告警处置SOP

• 1、安全设备
• 2、告警处置SOP
• • 2.1、病毒木马
  • 2.2、文件上传
  • 2.3、SQL注入
  • 2.4、代码执行
  • 2.5、跨站脚本
  • 2.6、端口扫描
  • 2.7、暴力破解
  • 2.8、webshell
  • 2.9、信息泄露
  • 2.10、弱口令
  • 2.11、拒绝服务
  • 2.12、未授权访问
  • 2.13、账号登录类
  • 2.14、管理员操作类
• 3、应急处置SOP
• • 3.1、评估影响范围
  • 3.2、临时处置
  • 3.3、研判
  • 3.4、处置
  • 3.5、恢复
  • 3.6、加固

1、安全设备

企业单位通常会有「安全运营平台」、「流量监测」、「全流量回溯」、「主机安全」、「终端安全」等设备，我们可以借助这些设备研判和处置，提前摸清楚现场部署了哪些设备，有什么就用什么。

• 正常情况下，以「安全运营平台」为主，进行告警监控、分析，其余设备做辅助排查。
• 如果安全运营平台异常或企业没有安全运营平台，则使用「流量监测设备」监控告警，其他设备做辅助排查。

客户现场常见的安全设备有：

• 「安全运营平台」：一哥的NGSOC，接收其他安全设备的日志或告警数据，汇总处理，提供全面的安全监测。
• 「流量监测」：一哥的天眼，旁路部署，接收核心或汇聚转发的镜像流量，分析告警，也可以溯源日志，提供各个区域的安全监测。
• 「全流量回溯」：科来的全流量，顾名思义，接收镜像流量，转换成日志用来溯源。
• 「主机安全」：一哥的椒图云锁/青藤的agent/阿里云的安骑士，在服务器上装客户端，告警信息展示在控制台上，常用来扫描和处置后门。
• 「终端安全」：一哥的天擎，在PC上装的杀毒软件，病毒告警展示在控制台上，如果买了管控模块也可以让终端隔离下线。

2、告警处置SOP

通过「安全运营平台」或 「流量监测设备」发现告警，根据告警类型选择对应的处置方式。

2.1、病毒木马

木马、蠕虫、流氓推广、僵尸网络、键盘记录、间谍软件、后门程序、黑市工具、恶意下载、恶意广告、勒索软件、恶意软件、APT事件、

1. 通过告警详情确认域名是否解析成功，确认攻击IP。
2. 使用流量设备搜索与攻击IP有通信行为的设备。
3. （服务器）使用主机安全设备搜索受害IP的告警，根据告警详情定位进程、文件，与管理员确认是否误报。
4. （PC终端）使用终端安全设备搜索受害IP的告警，有就与用户确认是否清除病毒文件，清除后重新全盘扫描；没有就直接全盘扫描，扫出病毒后，与用户确认是否清除，并收集样本给病毒分析组分析是否与告警相关，清除后重新全盘扫描（部分病毒需要重启电脑才能彻底清除）。

2.2、文件上传

1. 检查请求中是否包含代码指令，响应中是否存在执行结果。
2. 使用主机安全设备搜索受害IP是否存在类似告警。
3. 检查受害主机是否存在对应目录、文件。

2.3、SQL注入

1. 检查告警请求包中是否包含SQL，响应包中是否存在执行结果。
2. 使用数审设备搜索受害IP是否有类似告警，是否执行过对应的SQL。
3. 与业务管理员确认是否为业务行为。

2.4、代码执行

命令执行、代码执行

1. 检查请求中是否包含命令代码，响应中是否存在执行结果。
2. 使用主机安全设备搜索受害IP是否存在类似告警。
3. 检查受害主机的历史命令，是否执行过告警中的命令。
4. 与主机管理员确认是否误报。

2.5、跨站脚本

1. 检查数据包是否误报。
2. 反射型可以将响应体保存到本地html文件，访问是否弹窗。
3. 存储型检查响应体是否包含攻击payload。
4. 如果攻击IP是内网，可以安装天擎全盘扫描恶意文件。

2.6、端口扫描

1. 如果攻击IP是内网服务器，使用主机安全设备搜索受害IP是否存在类似告警，定位可疑进程。
2. 如果攻击IP是内网终端，使用终端安全设备搜索受害IP是否有该进程文件的查杀/防护日志；使用EDR搜索受害IP的访问记录，定位可疑进程。
3. 如果攻击IP是外网，扫描时间超过n分钟就上报封禁IP。

2.7、暴力破解

1. 查看告警中攻击IP的登录次数。
2. 使用流量设备根据攻击IP、受害IP搜索登录日志，检查每次登录的密码是否都不一样。
3. 与业务网站管理员核实是否误报。

2.8、webshell

1. 检查告警请求包中是否包含恶意攻击代码，响应包中是否包含执行结果。
2. 使用主机安全设备搜素受害IP是否存在类似告警。
3. 在受害主机上检查是否存在对应文件，与管理员确认是否业务文件。

2.9、信息泄露

信息泄露、配置不当/错误、敏感文件探测、目录探测事件

1. 检查告警请求包payload、检查响应包是否存在对应执行结果。

2.10、弱口令

1. 根据请求包检查是否为弱口令。
2. 根据响应包检查是否登录成功。
3. 与用户确认后，尝试登录，检查是否成功登录。

2.11、拒绝服务

1. 使用威胁情报平台搜索攻击IP所属组织、时间等信息，确认是否误报。
2. 使用防火墙搜索受害IP的流量、日志有无突增。

2.12、未授权访问

1. 检查告警响应包，是否存在绕过登录。
2. 浏览器访问页面检查是否需要权限才能访问。

2.13、账号登录类

账号短时间被多IP登录、多次登录失败、多次动态口令验证失败、多次重置密码、访问多个资源/端口，非工作时间成功修改密码、同一IP登录多个账户等爆破行为。

1. 联系本人核实，是否本人操作。
2. 如果不是，封禁登录IP、封禁/锁定账号后，修改密码；或直接删除账号。

登录被锁定的账户。

1. 联系本人核实，是否本人操作。
2. 如果不是，就删除账号、封禁登录IP，为用户申请新账号。

2.14、管理员操作类

非常用IP/非工作时间/非常用管理员 执行了管理员操作、

1. 与管理员核实，是否本人操作。
2. 如果不是，就修改管理员密码或删除管理员账号，排查管理员账户相关日志，由分析组确认是否需要上机排查，排查确认是否失陷，是否需要应急。
3. 被管理员操作的普通账号，排查账户相关日志，分析是否有异常行为，并针对性处理。

3、应急处置SOP

确认攻击后，参考以下步骤处置受害资产。

3.1、评估影响范围

• 使用流量设备，根据攻击IP搜索，筛选出最近几天被攻击的IP。
• 使用终端安全/主机安全设备，根据威胁名称（比如xx木马）搜索，筛选出存在相同告警的内网终端。
• 整合攻击IP、受害IP、攻击类型、时间，梳理出攻击范围和受害IP的网络拓扑结构。

3.2、临时处置

1. 「隔离」或下线受影响的终端/主机。
2. 替换「备机」恢复工作或切换备用系统恢复生产业务。

3.3、研判

根据影响范围，判断是否为「定向攻击」。

• 定向攻击：隔离终端
• 非定向攻击：隔离终端，查杀恶意程序。

「收集样本」提交到病毒分析组，分析是否存在横向渗透、窃密、创建后门等行为特征，并根据行为对终端进行排查。

3.4、处置

• 「受影响」的终端处置加固，比如清除病毒、异常文件、异常账号。
• 「未受影响」的终端调整策略，比如在墙上封禁恶意IP、C2地址。

3.5、恢复

1. 取消临时策略。
2. 根据攻击行为，添加WAF等防护策略，恢复上线。

3.6、加固

根据攻击路径发现薄弱环节提供加固建议，如：

• 修改弱密码。
• 防护软件开启方爆破。
• 打补丁或修改配置等。

👇👇👇

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料，跟着这套资料学完你也能成为黑客高手！

因篇幅有限，仅展示部分资料，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，需要点击下方链接即可前往获取，或微信扫描下方二维码领取~

**读者福利 |** 优快云大礼包：《网络安全入门&进阶学习资源包》免费分享 **（安全链接，放心点击）**

👉1.成长路线图&学习规划👈

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

👉2.网安入门到进阶视频教程👈

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。****（全套教程文末领取哈）

👉3.SRC&黑客文档👈

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！****（全套教程文末领取哈）

👉4.护网行动资料👈

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

👉5.黑客必读书单👈

👉6.网络安全岗面试题合集👈

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

所有资料共282G，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，可以扫描下方二维码或点击链接免费领取~
**读者福利 |** 优快云大礼包：《网络安全入门&进阶学习资源包》免费分享 **（安全链接，放心点击）**