hw-safe-威胁数据处理

云眼

• 网页后门- 查看具体代码哪一段触发规则库进行分析（下载下来给客户确定，微步在线之类的）
• 威胁软件- 给客户看，建议删除（不明来历）

• 反弹shell- 先分析看看反弹参数有没有扫描危险参数（powershell之类的）给客户看，

• 异常登录-
• 异常进程- 子进程有更大的权限
• 异常账号- 跟客户确认是不是正常账号

• 暴力破解和入侵扫描- 看看是外网还是内网，外网阻断，内网--危险，封堵攻击ip，上报

云御

• 若遇到误判- 增加白名单别关闭拦截
• 网站后台防护- 根据客户的域名和物理路径配置ip验证方式，或者密码验证（安全狗二次密码）
• 对攻击行为进行拉黑处理- 如果网页有硬件防火墙，上报，没有就通过云眼云御进行黑白名单拉黑。

啸天流量监测

主要看护网工作台

• 恶意文件拖到沙盒运行
• 主要按攻击类别，cve，webshell，暴力破解（有可能用户改密码造成误报），web远程代码执行，系统提权，通过过滤条件对目标ip进行过滤排查。
• 威胁判断分析，可以看看hw之前有没有相似的事件发生来判断
• 如果防火墙已经阻断但是还有攻击流量，观察流量在防火墙前还是后面
• 对探测数据进行封堵（扫描，破解，注入），如果内网进一步分析排查
• 若被攻陷，备份样本做好截图。清除威胁，通过日志流量查找攻击信息
• 溯源三要素，事件，地点，事件。