iT邦幫忙

2022 iThome 鐵人賽

DAY 8
0
Security

none系列 第 8

1-8 啟動調查

  • 分享至 

  • xImage
  •  

情境

集合相關人員,開始現狀報告

你判定該事件為L1,為什麼?主管表示出不同意

只是網站被駭,我們切換備站後就沒事了...

該網站有存放一些資料,依據資料機密等級可能需升級至L2,網站所有者回覆

受駭的網站有做快照,要還原嗎

等等我們需要保留證據,有備站在,可以等鑑識人員採證完後再做處理

服務可能沒有完全復原,請在跟一線IT同仁同步狀況

開會完成現狀報告後,開始分工做事件處理

說明

  • 事件嚴重等級

    • 依照法令法規及公司規定,嚴重的話可能會啟動BCP(Business Continuity Planning)
  • 收集資訊

    • 主機資訊
      • 除了勒索事件,建議不要斷電關機,只需斷掉網路,後續才能做記憶體取證,避免破壞現場
    • 資料的時間 (需要確認是同一格式,收集到的Log有校時)
    • 事件的類型
      • 惡意程式、網路釣魚、帳密爆破...
    • 受影響資源的類型
    • 如何檢測事件
      • 防毒、IDS、用戶通報..

REF

https://samsclass.info/152/lec16/ch4-5.pdf


上一篇
1-7 調查 - 使用Splunk實作 3
下一篇
1-9 使用Splunk實作 4-1
系列文
none36
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言