網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)實戰(zhàn)指南
定 價:89 元
- 作者:奇安信安服團(tuán)隊著
- 出版時間:2020/11/1
- ISBN:9787121398810
- 出 版 社:電子工業(yè)出版社
- 中圖法分類:TN915.08-62
- 頁碼:348
- 紙張:
- 版次:1
- 開本:16K
本書共10章,第1-3章為網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工程師需要掌握的基礎(chǔ)理論、基礎(chǔ)技能和常用工具,第4-10章為當(dāng)前網(wǎng)絡(luò)安全應(yīng)急響應(yīng)常見的七大處置場景,分別是勒索病毒、挖礦木馬、Webshell、網(wǎng)頁篡改、DDoS攻擊、數(shù)據(jù)泄露和流量劫持網(wǎng)絡(luò)安全應(yīng)急響應(yīng)。
□□章 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)概述1
1.1 應(yīng)急響應(yīng)基本概念1
1.□ 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)基本概念1
1.3 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的能力與方法3
1.3.1 機構(gòu)、企業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)應(yīng)具備的能力3
1.3.□ PDCERF(6階段)方法4
1.4 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)現(xiàn)場處置流程6
第□章 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工程師基礎(chǔ)技能8
□.1 系統(tǒng)排查8
□.1.1 系統(tǒng)基本信息8
□.1.□ 用戶信息13
□.1.3 啟動項□0
□.1.4 任務(wù)計劃□3
□.1.5 其他□6
□.□ 進(jìn)程排查□8
□.3 服務(wù)排查39
□.4 文件痕跡排查41
□.5 日志分析53
□.6 內(nèi)存分析70
□.7 流量分析77
□.8 威脅情報83
第3章 常用工具介紹86
3.1 SysinternalsSuite86
3.□ PCHunter/火絨劍/PowerTool87
3.3 Process Monitor88
3.4 Event Log Explorer88
3.5 FullEventLogView89
3.6 Log Parser90
3.7 ThreatHunting90
3.8 WinPrefetchView91
3.9 WifiHistoryView91
3.10 奇安信應(yīng)急響應(yīng)工具箱9□
第4章 勒索病毒網(wǎng)絡(luò)安全應(yīng)急響應(yīng)95
4.1 勒索病毒概述95
4.1.1 勒索病毒簡介95
4.1.□ 常見的勒索病毒95
4.1.3 勒索病毒利用的常見漏洞103
4.1.4 勒索病毒的解密方法104
4.1.5 勒索病毒的傳播方法105
4.1.6 勒索病毒的攻擊特點106
4.1.7 勒索病毒的防御方法107
4.□ 常規(guī)處置方法110
4.□.1 隔離被感染的服務(wù)器/主機110
4.□.□ 排查業(yè)務(wù)系統(tǒng)111
4.□.3 確定勒索病毒種類,進(jìn)行溯源分析111
4.□.4 恢復(fù)數(shù)據(jù)和業(yè)務(wù)111
4.□.5 后續(xù)防護(hù)建議11□
4.3 錯誤處置方法11□
4.4 常用工具113
4.4.1 勒索病毒查詢工具113
4.4.□ 日志分析工具117
4.5 技術(shù)操作指南119
4.5.1 初步預(yù)判1□0
4.5.□ 臨時處置1□6
4.5.3 系統(tǒng)排查1□7
4.5.4 日志排查135
4.5.5 網(wǎng)絡(luò)流量排查139
4.5.6 清除加固139
4.6 典型處置案例140
4.6.1 服務(wù)器感染GlobeImposter 勒索病毒140
4.6.□ 服務(wù)器感染Crysis勒索病毒145
第5章 挖礦木馬網(wǎng)絡(luò)安全應(yīng)急響應(yīng)150
5.1 挖礦木馬概述150
5.1.1 挖礦木馬簡介150
5.1.□ 常見的挖礦木馬150
5.1.3 挖礦木馬的傳播方法153
5.1.4 挖礦木馬利用的常見漏洞154
5.□ 常規(guī)處置方法155
5.□.1 隔離被感染的服務(wù)器/主機155
5.□.□ 確認(rèn)挖礦進(jìn)程156
5.□.3 挖礦木馬清除156
5.□.4 挖礦木馬防范157
5.3 常用工具158
5.3.1 ProcessExplorer158
5.3.□ PCHunter160
5.4 技術(shù)操作指南16□
5.4.1 初步預(yù)判16□
5.4.□ 系統(tǒng)排查165
5.4.3 日志排查176
5.4.4 清除加固178
5.5 典型處置案例179
5.5.1 Windows服務(wù)器感染挖礦木馬179
5.5.□ Linux服務(wù)器感染挖礦木馬183
第6章 Webshell網(wǎng)絡(luò)安全應(yīng)急響應(yīng)188
6.1 Webshell概述188
6.1.1 Webshell分類188
6.1.□ Webshell用途189
6.1.3 Webshell檢測方法190
6.1.4 Webshell防御方法190
6.□ 常規(guī)處置方法191
6.□.1 入侵時間確定191
6.□.□ Web日志分析19□
6.□.3 漏洞分析19□
6.□.4 漏洞復(fù)現(xiàn)19□
6.□.5 漏洞修復(fù)193
6.3 常用工具194
6.3.1 掃描工具194
6.3.□ 抓包工具195
6.4 技術(shù)操作指南195
6.4.1 初步預(yù)判196
6.4.□ Webshell排查198
6.4.3 Web日志分析199
6.4.4 系統(tǒng)排查□0□
6.4.5 日志排查□18
6.4.6 網(wǎng)絡(luò)流量排查□□1
6.4.7 清除加固□□3
6.5 典型處置案例□□4
6.5.1 網(wǎng)站后臺登錄頁面被篡改□□4
6.5.□ Linux系統(tǒng)網(wǎng)站服務(wù)器被植入Webshell□□9
6.5.3 Windows系統(tǒng)網(wǎng)站服務(wù)器被植入Webshell□35
第7章 網(wǎng)頁篡改網(wǎng)絡(luò)安全應(yīng)急響應(yīng)□38
7.1 網(wǎng)頁篡改概述□38
7.1.1 網(wǎng)頁篡改事件分類□38
7.1.□ 網(wǎng)頁篡改原因□39
7.1.3 網(wǎng)頁篡改攻擊手法□40
7.1.4 網(wǎng)頁篡改檢測技術(shù)□40
7.1.5 網(wǎng)頁篡改防御方法□41
7.1.6 網(wǎng)頁篡改管理制度□41
7.□ 常規(guī)處置方法□4□
7.□.1 隔離被感染的服務(wù)器/主機□4□
7.□.□ 排查業(yè)務(wù)系統(tǒng)□4□
7.□.3 確定漏洞源頭、溯源分析□43
7.□.4 恢復(fù)數(shù)據(jù)和業(yè)務(wù)□43
7.□.5 后續(xù)防護(hù)建議□43
7.3 錯誤處置方法□43
7.4 常用工具□44
7.5 技術(shù)操作指南□44
7.5.1 初步預(yù)判□44
7.5.□ 系統(tǒng)排查□45
7.5.3 日志排查□47
7.5.4 網(wǎng)絡(luò)流量排查□49
7.5.5 清除加固□49
7.6 典型處置案例□49
7.6.1 內(nèi)部系統(tǒng)主頁被篡改□49
7.6.□ 網(wǎng)站首頁被植入暗鏈□5□
第8章 DDoS攻擊網(wǎng)絡(luò)安全應(yīng)急響應(yīng)□57
8.1 DDOS攻擊概述□57
8.1.1 DDoS攻擊簡介□57
8.1.□ DDoS攻擊目的□57
8.1.3 常見DDoS攻擊方法□58
8.1.4 DDoS攻擊中的一些誤區(qū)□66
8.1.5 DDoS攻擊防御方法□67
8.□ 常規(guī)處置方法□68
8.□.1 判斷DDoS攻擊的類型□68
8.□.□ 采取措施緩解□69
8.□.3 溯源分析□69
8.□.4 后續(xù)防護(hù)建議□69
8.3 技術(shù)操作指南□69
8.3.1 初步預(yù)判□69
8.3.□ 問題排查□7□
8.3.3 臨時處置方法□7□
8.3.4 研判溯源□73
8.3.5 清除加固□73
8.4 典型處置案例□73
第9章 數(shù)據(jù)泄露網(wǎng)絡(luò)安全應(yīng)急響應(yīng)□75
9.1 數(shù)據(jù)泄露概述□75
9.1.1 數(shù)據(jù)泄露簡介□75
9.1.□ 數(shù)據(jù)泄露途徑□75
9.1.3 數(shù)據(jù)泄露防范□77
9.□ 常規(guī)處置方法□77
9.□.1 發(fā)現(xiàn)數(shù)據(jù)泄露□77
9.□.□ 梳理基本情況□78
9.□.3 判斷泄露途徑□78
9.□.4 數(shù)據(jù)泄露處置□78
9.3 常用工具□79
9.3.1 Hawkeye□79
9.3.□ Sysmon□83
9.4 技術(shù)操作指南□87
9.4.1 初步研判□87
9.4.□ 確定排查范圍和目標(biāo)□88
9.4.3 建立策略□89
9.4.4 系統(tǒng)排查□90
9.5 典型處置案例□91
9.5.1 Web服務(wù)器數(shù)據(jù)泄露□91
9.5.□ Web應(yīng)用系統(tǒng)數(shù)據(jù)泄露□95
□□0章 流量劫持網(wǎng)絡(luò)安全應(yīng)急響應(yīng)303
10.1 流量劫持概述303
10.1.1 流量劫持簡介303
10.1.□ 常見流量劫持303
10.1.3 常見攻擊場景311
10.1.4 流量劫持防御方法313
10.□ 常規(guī)處置方法313
10.□.1 DNS劫持處置313
10.□.□ HTTP劫持處置314
10.□.3 鏈路層劫持處置314
10.3 常用命令及工具315
10.3.1 nslookup命令315
10.3.□ dig命令317
10.3.3 traceroute命令319
10.3.4 Wireshark工具319
10.3.5 流量□□工具3□0
10.4 技術(shù)操作指南3□1
10.4.1 初步預(yù)判3□1
10.4.□ DNS劫持排查3□□
10.4.3 HTTP劫持排查3□7
10.4.4 TCP劫持排查3□8
10.4.5 ARP劫持排查3□9
10.5 典型處置案例330
10.5.1 網(wǎng)絡(luò)惡意流量劫持330
10.5.□ 網(wǎng)站惡意跳轉(zhuǎn)331
10.5.3 網(wǎng)站搜索引擎劫持33□