5.28应急响应思路流程

1、恶意外联，ip封禁及溯源

准备工作：对恶意ip信息收集，如fofa、钟馗之眼、资产绘测等等；
受害者信息收集，如：开放端口，判断入侵点；

2、现场调研

互联网结构，数据流向，核心交互机（是否有服务器）；
日志审计：windows系统日志中，wife连接日志可以确认安全事件发生时间；
是否有态势感知平台，判断外联时间；再去锁定操作系统日志；是否有横向移动排查；

3、登录路由器

封禁ip策略；或者是防火墙上，双向上/下行策略；

4、验证策略

ping恶意ip；

5、溯源事件原因

首先是安全设备日志（安全日志审计）查找定位到终端发起连接，登录该主机查看日志分析；
是否安装杀软；

6、应急处置/优化加固

封禁ip、恶意域名加入黑名单；
上网行为审计功能；
管理权限：SSH、snmp、远程登录关闭；

7、总结建议

• 提升安全意思，弱口令
• 排查所有资产，全盘查杀
• 网络层加强安全防护，如防火墙，开启防病毒等
• 规范u盘等使用，插入时进行查杀
• 加强安全监测能力，定期安全监测并记录；